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从 力学 、 物 理学 、 天 文学 直到 化 学 、 生 物 学 、 经 济 
学 与 工程 技术 ,无 不 用 到 数学 . 一 个 人 从 入 小 学 到 大 学 
毕业 的 十 六 年 中 ， 有 十 三 、 四 年 有 数学 课 ， 可见 数学 之 
重要 与 其 应 用 之 广泛 . 

但 提起 数学 ， 不 少 人 仍 觉得 头痛 ， 难 以 入 门 ， 甚 至 
望 桓 生发， 我 以 为 要 克服 这 个 鸿沟 ， 还 是 有 可 能 的 ， 近 
代数 学 难于 接触 , 原因 之 一 大 概 是 由 于 其 符号 、 语 言 与 
概念 陌生 , 兼 之 近代 数学 的 高 度 抽象 与 概括 ,难于 了 解 
与 掌握 ,我 想 ， 如 果 知 道 讨论 的 对 象 的 具体 背景 ， 则 有 
可 能 掌握 其 实质 显然, 一 个 非 数 学 专业 出 身 的 人 , 要 
把 数学 专业 的 教科 书 都 自修 一 遍 , 这 在 时 间 与 精力 上 都 
不 易 做 到 . 车 停 留 在 初等 数学 水 平 上 ,哪怕 做 了 很 多 难 
Ж, 似 亦 不 会 有 助 于 对 近代 数学 的 了 解 . 这 就 促使 我 们 
设想 出 一 套 “走向 数学 ”小 丛书, 其 中 每 本 小 册子 尽量 
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用 深入 浅 出 的 语言 来 讲述 数学 的 某 一 问题 或 方面 ,使 工 
程 技 术 人 员 ， 非 数学 专业 的 大 学 生 ， 甚至 具有 中 学 数学 
水 平 的 人 ， 亦 能 懂得 书 中 全 部 或 部 分 含义 与 内 容 . 这 对 
提高 我 国人 民 的 数学 修养 与 水 平 , 可 能 会 起 些 作 用 . E 
然 要 将 一 门 数 学 深入 浅 出 地 讲 出 来 , AFET. 首先 要 
对 这 门 数学 有 深入 的 研究 与 透彻 的 了 解 . 从 整体 上 说 ， 
我 国 的 数学 水 平 还 不 高 ,能 否 较 好 地 完成 这 一 任务 还 难 
说 ， 但 我 了 解 很 多 数学 家 的 积极 性 很 高 ， 他 们 愿意 为 
“走向 数学 ” 扎 稿 ， 这 很 值得 高 兴 与 欢迎 、 

承蒙 国家 自然 科学 基金 委员 会 、 中 国 数学 会 数学 传 
播 委 员 会 与 湖南 教育 出 版 社 支持 , Ku "Ge 
数学 ”从 书 ， 谨 致 以 感谢 . 
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在 信息 时 代 的 今天 ， 信 息 和 其 它 资源 一 样 成 为 人 类 重要 的 
财富 ， 而 且 信 息 本 身 还 是 时 间 ， 甚 至 于 是 生命 当前 计算 机 被 
广泛 应 用 而 且 日 渐 深 入 ， 几 乎 已 无 处 不 感到 它 的 夯 在 .但 储存 
信息 的 计算 机 和 票 统 是 很 脆弱 的 ， 信 息 的 传输 则 是 依靠“ 不 设 
防 ” 的 公共 信道 . 信息 作为 一 种 资源 被 盗窃 不 同 于 其 它 的 财富 
首先 不 吻 被 发 现 ， 而 其 后 果 可 能 更 为 严重 ， 如 何 保护 信息 的 安 
£? 这 个 问题 便 尖 锐 地 被 提 到 议事 日 程 上 来 对 它 进行 加 密 看 
来 是 有 效 而 且 可 行 的 一 种 方法 。 它 只 需要 付出 很 少 的 代价 ， 便 
可 得 到 满意 的 结果 ， 

密码 作为 军事 和 政治 斗争 中 的 一 种 技术 ,已 有 悠久 的 历史 ， 
而 且 也 有 其 不 村 常 的 表现 ， 但 成 为 一 门 学 科 ， 还 只 是 近 几 年 的 
¥. 在 计算 机 科学 莲 勃 发 展 的 刺激 下 ，70 年 代 中 期 在 这 块 园地 
开 出 两 条 艳丽 夺目 的 花 ， 一 是 公 钥 密码 系统 一 个 是 数据 加 密 
标准 DES， 从 此 莫 定 了 近代 密码 学 的 基础 、 在 短 短 十 多 年 时 间 
里 其 发 展 可 以 说 是 异彩 纷 旺 ， 令 人 目 不 眼 接 . 数学 在 此 过 程 中 
扮演 了 一 个 重要 的 角色 .我 们 都 听 说 数论 中 “1 十 1” 问 题 如 何 
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如 何 ， 但 数论 在 近代 密码 学 中 的 贡献 更 令 人 神往 ， 读 者 将 看 到 
RAHI, BEB, BREN, HERF RRR RAE 
论 ， 组 会 论 ， 算 法 复杂 性 理论 ， 编 码 理论 ， 自 动机 理论 ， 甚 至 
于 代数 玫 何 中 的 椭圆 曲线 等 ， 都 在 密码 学 研究 中 找到 了 自己 的 
位 置 . 这 在 其 它 学 科 中 是 不 多 见 的 现象 , 这 些 内 容 僻 有 趣味 ,本 
书 用 通俗 的 方式 讨论 它们 。 密码 学 的 研究 成 果 已 不 局 艰 于 通信 
保密 上 ， 如 数字 签名 ， 身 份 验证 等 技术 已 是 其 它 学 科 的 基础 

本 书 分 两 个 部 分 ， 密码 学 的 基本 概念 和 近代 密码 学 的 若干 
问题 , 有 一 些 是 我 们 工作 的 成 果 . 这 样 的 划分 其 实 是 模糊 的 , 比 
如 数据 加 密 标准 无 疑 是 近代 密码 学 的 一 个 方面 ， 但 放 在 了 第 一 
部 分 中 ， 只 是 因为 它 的 基本 方法 更 接近 于 传统 密码 ， 第 二 部 分 
也 不 能 简单 地 用 公 铜 来 概括 ， 近 代 密 码 学 的 突出 特点 是 更 多 地 
依靠 计算 ， 所 以 本 书 命名 为 “计算 密码 学 "， 作者 认为 传统 密码 

和 公 铜 密码 是 密码 学 中 不 可 截然 分 开 更 不 是 对 立 的 两 个 部 分 - 
密码 学 作为 一 门 学 科 非常 年 轻 ， 但 大 有 可 为 ， 这 是 现实 的 
需要 ,我国 必须 要 有 自己 的 数据 加 密 标 准 ， 我 们 不 能 没有 自己 
的 密码 系统 ， 作 者 希望 本 书 对 普及 和 推广 这 方面 的 知识 会 起 到 
拍 砖 引 玉 的 作用 ， 为 了 让 更 多 的 读者 能 接受 讨论 的 内 容 ， 作 者 
力求 做 到 深入 浅 出 . 但 内 容 毕 竞 涉 及 到 近代 密码 学 的 诸多 方面 ， 
有 相当 的 深度 和 难度 ， 请 读者 能 理解 
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第 一 章 ”密码 学 若干 基本 概念 
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密码 作为 一 种 技术 已 有 十 千年 的 历史 . 自从 人 类 有 了 战争 ， 
便 自然 产生 了 密码 ， 然 而 密码 正式 成 为 一 门 学 科 ， 还 是 近 几 年 
的 事 . 在 计算 机 发 展 到 网 络 的 信息 时 代 , 信息 本 身 就 是 时 间 , 就 
是 财富 ， 但 信息 存储 于 计算 机 系统 中 ， 信 息 的 传输 依赖 于 十 分 
巾 弱 的 公共 信道 ， 信 息 的 泄露 不 易 被 发 现 ， 但 它 造 成 的 社会 影 
响 是 巨大 的 . 所 以 , 保护 信息 的 安全 是 时 代 发 展 的 必然 要 求 , 它 
已 被 追 切 地 提 到 日 程 上 来 . 

密码 是 保护 信息 安全 的 有 效 而 可 行 的 方法 ， 它 用 很 小 的 代 
Vr. 为 信息 提供 足够 的 安全 保护 . 在 计算 机 莲 勃 发 展 的 刺激 下 ， 
数据 安全 作为 一 个 新 的 分 支 已 活路 在 计算 机 科学 这 个 领域 里 . 
不 仅 如 此 ， 它 还 是 其 他 许多 学 科 的 基础 和 工具 ， 被 广泛 地 应 用 
x. 

. 1. 


数据 加 密 标准 DES 和 公 钥 密码 体制 ， 是 70 年 代 后 半期 在 
密码 学 园地 上 盛开 的 两 朱 奇 琵 ， 它 们 几乎 是 在 相同 的 时 间 里 提 
tHE. DES 是 Data Encryption Standard 的 缩写 , H IBM 公司 
研究 并 提出 ,1977 年 经 美国 国家 标准 局 批准 ,作为 非 机 密 机 构 
保密 通信 用 , 最初 预定 服务 期 限 十 年 ， 至今, 十 年 已 经 过 去 了 ， 
DES 还 在 “超期 服役 ”中 ，1976 РИЧЕ (W. Diffie) HRE 
(M. E. Hellman) 在 一 篇 著名 的 论文 “New Directions in 
Cryptagraphy” 中 提出 了 公 钥 密码 体制 的 构想 ,不久 便 推出 公 钥 
密码 系统 ,可 以 毫 不 夸张 地 说 :没有 公 钥 密码 和 DES 的 研究 , 便 
没有 近代 密码 学 . 近代 密码 学 的 突出 特点 是 更 多 地 依 奉 于 计算 ， 
公 钥 密码 的 研究 异彩 纷呈 ， 当 Diffie 和 Hellman 提出 他 们 十 分 
卓越 的 思想 时 ， 还 没有 一 个 具体 的 实例 ， 但 由 于 它 的 优势 十 分 
明显 ， 所 以 ， 在 这 以 后 ， 各 种 公 钥 体制 纷 至 冰 来 ， 真 有 点 吊 吊 
BAHAA. 十 五 年 过 去 了 ， 应 该 说 公 钥 尚未 成 功 ， 还 要 继续 
努力 ， 这 不 能 苛求 王公 钥 本 身 ， 它 毕竟 才 只 有 十 几 年 ， 十 郊 岁 
对 于 一 个 人 来 说 最 多 才 是 青年 时 期 ， 虽 然 如 此 ， 公 钥 密 码 的 研 
究 仍 然 光 彩 夺 目 . 除了 计算 机 科学 外 , 它 还 涉及 数学 中 的 数论 、 
群 论 、 有 限 域 理论 、 人 信息论、 编码 理论 、 自 动机 理论 、 算 法 复 
杂 性 理论 、 概 率 统计 ， 以 及 代数 几何 中 的 精 圆 曲线 等 ， 这 在 其 
它 学 科 中 也 是 罕见 的 现象 以 上 各 方面 在 本 书 中 都 将 一 一 论 及 ， 

讨论 近代 密码 学 无 疑 是 本 书 的 重点 , 公 钥 自然 是 中 心 内 容 ， 
公 钥 是 相对 于 传统 的 密码 体制 而 存在 的 ， 所 以 在 第 一 章 里 将 简 
单 地 介绍 一 些 传统 的 密码 技术 ， 尽 管 如 此 ， 它 的 方法 和 引出 的 
数学 问题 也 是 伐 有 趣味 的 . 

我 国 必须 要 有 自己 的 密码 系统 ， 也 要 有 自己 的 数据 加 密 标 
准 ， 这 是 时 代 的 需要 ， 而 且 唯 此 不 能 依靠 进口 ， 这 是 学 科 的 性 
质 所 决定 的 ， 开 展 密码 的 研究 是 当务之急 ， 它 除了 依靠 专业 人 
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员外 ， 群 众 性 的 研究 也 很 重要 ， 国 外 的 经 验 也 说 明了 这 一 点 . 
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Ж 4 要 通过 公共 信道 向 召 送 去 信息 所 , 由 于 公共 信道 缺乏 
足够 的 安全 保护 ,信息 т 容易 被 第 三 者 所 窃取 , KETHEK, 
为 此 在 m 进入 公共 信道 之 前 , 先 对 它 进行 加 密 变 换 , 得 密 文 c， 
HD; 

Ес = E,@n) 
其 中 是 参数 , 称 为 密 钥 ,4 VHC ER B, BUREN c fE 
HERR, Em, Rp 

Dim = Dc) 
所 以 加密 变换 E 和 解密 变换 D 实际 上 是 一 对 变换 和 它 的 逆 ， 
BH. 

D,(E,(m)) = m 
相对 于 密 文 <，m 称 为 明文 . 

加 密 通 信 的 过 程 可 用 下 图 来 表示 ， 
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oF 
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密 锅 在 保密 通信 中 占有 极其 重要 的 地 位 ， 它 由 通信 双方 
秘密 商定 ， 只 有 他 们 双方 掌握 ， 第 三 者 就 是 知道 所 用 的 加 密 算 
ЖЕНИ D. AREENAN EH £, 也 仍然 无 法 获得 明 
文思 ,以 此 来 达到 保密 的 目的 . 保密 只 是 通信 安全 的 一 个 目的 
还 有 一 个 目的 是 信息 m 的 完整 性 , 即 要 保证 娟 收 到 的 密 文 < 不 
会 被 第 三 者 自 改 , 即 第 三 者 车 不 掌握 密 钥 ,就 无 法 伪造 任何 密 
х. 下面 举例 说 明 以 上 的 概念 . 

例 1 凯撒 (Caesar) 密码 凯 撤 密码 是 将 明文 的 每 一 个 字 
母 一 律 循环 推移 上 位 . 所 以 , 凯 撤 密码 也 叫做 单 表 密 码 , 例如 明 
X: 

Secure message transmission is of extreme importance in 

information based society. 
这 段 明文 的 意思 是 .在 信息 社会 里 ， 秘 密 通 信 是 极其 重要 
的 . 

现 将 明文 字符 通过 遍 撤 密码 后 移 3 位 加 密 得 密 文 : 

VHFXUH PHVVDJH WUDQVPLVVLRQ LV RI 
HAWUHPH LPSRUWDQFH LQ LQIRUPDWLRQ EDVHG 
VRFLHWB 

QUR FJ pl А, ЕВН. АИ 6 3. IRI 
密码 并 不 安全 , 也 就 是 说 截 到 密 文 <, 在 不 知 密 铀 的 前 提 下 也 不 
难 获得 明文 m. 

例 2 词组 密 钥 密码 ”明文 字母 和 密 文 的 置换 如 下 表 ， 
abcdefghijklmnopqrstuvwxyz 
FIVESTARBCDGHJIKLMNOPQUWXYZ 

即 字母 表 abcde--c uvwzyz 分 别 和 FIVESTAR…*…YZ 对 应 ， 
密 钥 为 词组 five stars， 这 样 明文 : 

Secure message transmission is of extreme importance in 
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information based society. 
被 加 密 成 密 文 : 

OSVQNS HSOOFAS PNFJOHBOOBKJ BO KT SXPN- 
SHS BHLKNPFJVS BJ BITKNHFPBKJ IFOSE OK VBSPY. 

要 对 词组 密 锁 密码 系统 的 密 钥 采取 强行 (brute force) 搜索 
的 方法 , 则 要 面临 26 个 字母 的 全 排列 的 各 种 可 能 ,根据 Stirling 
公式 ， 

n! = VB zy 
TRE 261 x 4 X Y0% 
若 以 每 秒 可 搜索 107 种 排列 的 超 高 速 电子 计算 机 进行 穷 举 ， 需 
要 的 时 间 为 
T = 4 X 10*/(365 X 24 X 3600 x 10*) 
= 4 X 109/63. 1536 X 102) ~ 
= 1.27 X 10? GE) 

显然 ， 采 用 亦 攻 击 或 强行 搜索 的 方法 是 行 不 通 的 ， 在 下 一 
节 时 将 介绍 一 种 统计 分 析 的 方法 . 

例 3 蒲 内 费 厄 (Playfair) 密 码 

蒲 内 费 厄 是 英国 的 密码 学 家 ， 图 1. 2. 2 是 个 5X5 PPE. 
ING 
АУ Е 
BC D 
LMO 
WX 7 

122 
Ж Е 3û Ж TSINGHUAVERYBCDFKLMOPQWXZ 正好 包 
会 除了 J 以 外 的 其 它 25 个 英文 字母 ， 前 面 12 个 字母 是 依 TS- 
INGHUA UNIVERSITY 顺序 取出 前 面 未 出 现 的 字母 , EER 
„5+ 


= = = m 
ORK c m 


以 依 英文 字母 表 中 前 面 未 出 现 的 英文 字母 ， 加 密 算法 由 明文 字 
母 对 тут, 而 定 。 设 mim, 的 密 文 为 oc MERN TF: 

(а) Жет 和 ms 在 同一 行 , 则 cs 和 cs 分 别 是 m, 和 ww 右 
边 的 字母 ， 这 里 将 第 1 列 看 作 是 在 第 4 列 的 右边 . 

QD 著 m mo 在 同一 列 , с, M ea У т 和 zs 下 
方 的 字母 .第 1 行 看 作 是 位 于 第 4 行 的 下 方 . 

(с) Жтт 和 ms 不 在 同 - 行 或 同一 列 , Nl с, fl с; 为 矩形 
的 两 个 顶点 , 且 该 矩形 的 其 它 两 顶点 为 m; fll ma, He fll m, Я 
1. c, film, 同行 . 

(d) Emm EHX m 和 m, 之 间 插入 一 空 字符 
GS X). I 

《e) ”车 明 文字 符 数 是 奇数 , 则 在 明文 来 端 加 上 一 空 字 符 . 

例 4 利用 图 1. 2.2 的 方 阵 ， 对 明文 

BEIJING CHINA 

进行 加 密 . 在 这 里 .7 当 作 了 处 理 , 与 图 1. 2. 2 对 应 的 密 钥 为 TS- 
INGHUA UNIVERSITY 先 将 明文 分 成 两 个 字符 一 组 

BE IX IX INGC HINA 
分 别 加 密 得 

DA NW NW NG ND AT IV 
Жр ЕЕЕ НА Ж, АТЛ ОРКЕ, X 
不 同 于 词组 密 钥 密 码 系统 . 

Bis 费 尔 南 (Vernam) 密 码 

eR HERE BC m Hn 位 的 0, 1 符号 串 来 表示 , EET 
下 也 是 0，1 符号 串 ， 设 

т = mmm, т 一 站 或 1，i = ],2,. = n 
Ë = Юе, RB; = OR 1, j = 1,2,6, 
E,(m) = с = сүс, с, c; == m, + & (nod 2) 


. 6. 


i= 1,22, n 
所 以 ， 费 尔 南 密码 的 弱点 在 于 若 已 知 密 钥 的 一 组 明文 和 它 对 
应 的 密 文 ， 则 费 尔 南 密码 便 被 攻破 
设 密 文 
e; — d pa. 1= 1,2 
分 别 对 应 于 明文 
m, = mPmP em? , 1 = 3,2 
Ш PRm, (= 12, i= 1.2, n 
则 ei? (Qc? = mi? O k, C mË” ФА 
= mË” Dm” 
车 mt? 已 知 , 则 то 便 可 得 到 . 
一 般 地 ， 密 铀 天 的 长 度 上 有限, 可 以 周而复始 重复 地 出 现 . 
也 可 以 用 长 度 为 局 和 已 BERT EAR 
& = kbp... 
k, = мео. 
HEL Ml EK, h b f k, PIPERS 14, 的 密 钥 比特 流 
K = kikk, n = Ц, 
k = БО RP, i= pde 
EH EP Wi EP 1938 А, 和 产生 的 周期 比特 流 . 
车 费 尔 南 密 码 的 密 钥 六 是 一 组 不 重复 的 随机 流 ， 则 这 样 的 
密码 称 之 为 一 次 一 密 . 一 次 一 密 密 码 是 完全 保密 密码 。 完 全 保 
密 的 概念 见 第 一 章 Š 8 商 农 理论 


$3 统计 分 析 法 


在 密码 学 中 加 密 和 破译 是 一 对 矛 和 振 ， 所 以 ， 了 解 玻 译 技 
MA 


术 对 于 研究 密码 也 是 必 不 可 少 的 . 在 词组 密 钥 的 密码 系统 中 ,经 
过 字母 的 变换 使 得 明文 面目 全 非 , 然 而 并 非 没 有 留 下 蛛丝马迹 . 
例如 英文 字母 出 现 的 闫 率 差别 很 大 ， 这 就 给 密码 分 析 者 以 可 乘 
之 机 ， 大 基 的 统计 表明 ， 昌 然 统 计 的 对 象 迎 异 ， 但 统计 结果 表 


明 ， 各 个 字母 各 自 出 现 的 频率 却 惊人 地 接近 . 


下 面 是 一 组 统计 结果 


а: 


e 
i; 
m 
q 
u 
» 

图 


1. 

ARH. 
2. 

T 


0. 0856 
0.1304 
0.0627 
0. 0249 
0. 0012 
0. 0249 
0. 0199 


b: 


zi 


оз wo 


0. 0139 


: 0.0289 


0.0013 


: 0.0707 


0. 0677 
0. 0092 
0. 0008 


13.1 是 它们 的 频率 图 ， 


0.0279 
: 0.0199 
0.0042 
0.0797 
0. 0007 
: 0.0149 


2? mm 5 


d; 0.0378 
h, 0.0528 
d: 0.0339 
P: 0.0199 
£; 0.1045 
х: 0.0017 


abcdef&hijklmnopar stuvexyx 


В 0.3.1 
从 频率 图 可 以 看 出 以 下 几 个 比较 明显 的 差异 : 
Fet, а, o, n isr, s, h BARRE, Ape 


FH ds l, u, c, т EPH. 


3， Фарр, 1. у, ws g, b, 属于 低频 . 

4. 字母 j, k, q, z, z 为 稀少 字母， 

我 们 说 它们 之 间 有 比较 明显 的 差异 ， 以 高 疾 字 母 中 频率 最 
低 的 h 和 中 频 字 母 中 频率 最 高 的 4 为 例 ， 频率 差别 为 : 0. 0528 
一 0. 0378 一 0. 015， 英 文中 许多 差异 给 破译 者 提供 了 线索 . 

下 面 是 一 组 由 词组 密 铀 密码 系统 加 密 而 得 的 密 文 ; 

EQNBJ  APRSG FOPPS  JYSFN OPRSF 

NPKTO SVQNB JAFGG TKNHO KTEFP 

FBJVG QEBJA EBABP FGOLS SVRRF 

OBHLN KUSEH FJYTK GEPRS LNBHF 

NYNSF OKJTK  NPRBO RFOIS  SJPRS 

FEUSJ  PKTHB VNKSG SVPNK JBVOP 

RSVKH IGSXB PYKTP  RSTQJ УРВКЈ 

OPRFP VFJJK  WISLS NTKNH SEIYP 

RSHFV  RBJSR  FONBO SJENF  HFPBV 

FGGYF OFNSO QGPKT  PRBON SVSJP 

ESUSG  KLHSJ PBJPS VRIKG  KAYHF 

JYKTP  RSVBL  RSNOY OPSHP  RFPWS 

NSKJV SVKJO  BESNS  EOSVQ  NSFNS 

JKWIN SFDFI GS 

CD 对 这 327 个 字母 进行 统计 得 ; 
4:4 B:20 C0 D:1 
E;M  Fi26 6.14 H,12 
1,6 Ji23 Ki 1,5 
M:0 N:24 0,20 Р, 27 
Qi6 R20 5,43 Т. 
U3 Vl? W3 Xi 
9+ 


Y,9 2,0 

(2) ”其 中 5 的 出 现 次 数 比 其 它 字母 明显 的 多 故 可 知 密 文 
See, BD S 可 能 和 明文 字母 e 对 应 . 

G) BS 预计 和 明文 字母 e 对 应 外 ， 其 余 前 8 个 出 现 次 
数 最 多 的 字母 分 别 为 。 

Р,27, Е.26, N:24, K:23, 1:22, В.21, 0:20, R:20 
初步 判断 这 8 个 字母 以 某 种 方式 和 4，a,o, ns i, r, s, h 3835 
应 ,它们 之 徊 的 前 生 连 缀 特点 可 以 加 以 利用 . 

(4) ”统计 S 和 了 ,FF,，N, K, J, В, O, ЕФ 
数目 如 下 : 


|Р F N K J BOR 


3.07 1 0 0 3 8 
0 3 4 0 6 0 0 0 
HK ek 出 现 的 几率 很 小 , 但 he 出 现 的 可 能 性 较 多 的 特点 ， 
估计 Re. 
O “ 妇 和 其 它 字母 的 前 后 绷 数目 统计 如 下 ; 


So 


к (0 2 0 0 0 0 0 о 
8 0 5 0 0 0 0 O 

REA HARE, T h 出 现 较 少 的 特点 判定 Pest, 

(6) ”依据 ea 较 ae 出 现 的 可 能 要 大 得 多 , 以 及 ha 较 ah 多 
的 特点 ， 估 计 Fea. 

(7) FS, Р, М, K, J, B, О, RR 的 前 后 级 统计 如 
F: 

„10+ 


$ 


s Р N K J B O R 


由 于 2,1,0 三 母音 连 缀 的 机 会 甚 少 , 有 理由 推断 天 \、 吕 对 应 
于 i.o 的 可 能 性 其 大 ,究竟 KK 对 应 于 i 还 是 o。? 尚 要 其 它 的 根据 . 
(8) 在 高 频率 字母 群 中 , N. RA s 尚未 判定 . 他 们 可 能 和 


J. N. O 以 某 种 方式 对 应 


RH See, Roh, Por, Foa 代 回 密 文中 去 .以 观察 K. 
如 中 究竟 谁 对 应 于 7， 又 谁 对 应 于 O， 以 及 J，N，O 和 明文 字 
Вл, r, s 的 对 应 关系 . 即 从 上 于 连 缀 中 寻求 更 多 的 线索 ,帮助 


解决 存疑 之 点 ， 


EQNBJ 
Ф durin 
67212 
NPKTO 
® rtofs 
2 171 
FBJYG 
图 ainc 
124 
OBHLN 
@ sim r 
116 2 
NYNSF 
图 ryrea 
252 


АРК5С 
gthel 
7 4 


SVQNB 
ecuri 


4721 


QEBJA 
uding 
76127 
KUSEH 
o edm 
1 66 


OKJTK 
$0 no 
112 1 


FOPPS 
astte 
1 
JAFGG 
ngali 
27 44 
EBABP 
digit 
6171 
FJYTK 
any o 
25 1 
NPRBO 
rihis 
2 11 


JYSFN 
nyear 
25 2 
TKNHO 


forms 
71261 


FGOLS 
als е 
41 


GEPRS 
idibhe 
46 


RFOIS 
hasbe 
13 


OPRSF 
sthea 
1 
КТЕЕР 
ofdat 
176 
SVRRF 
echha 
4 
LNBHF 
rima 
2 6 
SJPRS 


enthe 


2 


lle 


@ 


@ 


RSVKH 
hecom 
416 


ОРКЕР 
sthat 


5 4 


JYKTP 
ayoft 
2517 


NSKJV 
reonc 


2 124 


JKWIN 


-12° 


PKTHB 
{oma 
1762 


LGSXB 
le d 
4 1 


VFJJK 
са no 


4 21 


RBTSR 
himeh 
16 
OFNSO 
sares 
1 2 1 


KLHS J 
o men 


176 2 


RSVBL 
heci 
41 


SvKJO 
econs 


4121 


SFDFI 


VNKSG 
crael 
421 4 


PYKTP 
tyoft 
517 


WISLS 
be e 
3 


FONBO 

asris 
1211] 

QGPKT 
ito 
4 I 


SVPNK 
ectro 
4 21 


RSTQJ 
hefun 
772 


NTKNI 
rform 
27126 


SJENF 
endra 
262 
PRBON 
thisr 

112 


VRJKG 
chnel 
4 214 


ОР5НР 
Stemt 
1 6 


EOSVQ 
dsecwu 
61 47 


JBVOP 
nicst 
2141 


VPBKJ 
ction 
4 112 


SEIYP 
¿dbyt 
635 


НЕРВУ 
matic 
6 14 
SVSJP 
еселт 
4 2 


KAYHF 
ogyma 
1756 


RFPWS 


hat e 


NSFNS 
reare 
2 2 


@ no br ea ab le 
21 32 3 4 


(9) HEOR, Ee 
Bei, OS 
出 现 this has， 提 供 了 一 种 可 能 ， 现 将 Bei, Koo, oos 代入 
EX, 希望 得 到 更 多 的 信息 支持 这 个 判断 . 在 下 面 用 зо 
示 这 过 程 . 
aD 从 代入 后 的 全 有 
DB 
ЖИЕ Јел, 代入 密 文 用 п 表示 这 过 程 . 同时 必然 的 一 个 结果 
是 Ne*r， 到 此 高 频 字 母 对 应 关系 初步 告 一 阶段 ， 

aD 从 代入 后 的 @ 可 知 fs 二 是 合理 的 推断 .用 之 代入 密 
x, Hx. 

а?) 从 代入 后 的 @ 推 测 

Gel, Уес 
以 之 代入 密 文 ， FAL “表示 这 过 程 ， 

аз› KOTA у-у, КЛЕ, U y, ARA Zoe. 

аб HOME Kk Eod. Нет. 

a5 HONA Te f, Оен, Aeg. 

现 将 已 得 到 的 对 应 关系 列表 于 下 : 
abcdefghijk lmnopg rs tu w zr ук 
FIVESTARBCDGHJKLMNOPQUW XYZ 
不 难 发 现 密 钥 词 组 为 FIVE STARS, 未 确定 的 对 应 关系 到 此 
全 部 解决 ， 即 上 面 打 * 的 部 份 ， 如 : 

Pec. кер 


. 135 


等 等 . 
破译 到 此 爹 部 结束 ， 最 终 的 明文 是 : 
“during the last ten years the art of securing all forms of data 
including digital speech has improved many fold the primary 
reason for this has been the advent of microelectronics the 
complexity of the functions that can now be performed by the 
machine has risen dramatically as a result of this recent deve- 
lop ment in technology many of the cipher system that were 
once considered secure are now breakable. " 

明文 的 意 恩 是 “在 过 去 的 十 年 里 ， 包 括 数字 语音 在 内 的 各 
种 数据 保密 技术 成 倍 地 增长 ,主要 原因 在 于 微 电 子 技术 的 出 现 . 
它 使 得 由 机 器 来 实现 的 功能 明显 地 越 来 越 复杂 ， 技 术 上 的 最 新 
结果 使 得 曾 被 认为 安全 的 许多 密码 系统 ， 现 在 也 可 以 攻破 .” 

这 个 密码 的 密 钥 词 组 是 FIVE STARS. 


$4 维 吉 尼 亚 (Vigenere) 密 码 及 对 它 的 分 析 


(1) 令 英文 字母 ae, Б, …，z 对 应 于 从 00 到 25 的 整数 , BH, 
4:00, 5,01, с.02, 4:03, е:04, f:05, 106 
А107, 2:08, 3.09, #:10, Hill. m:12, n:13 
6:14, р:15, @:16, r;:l?, 5:18, 2:19, u:20 
0:21. 0:22, 2:23, y:24， z:25， 
REH А-АА. Ва ЗК, 
С п Ар Ар, 
m = жтт, 
Е(т) = С = сүс, 
` 14+ 


其 中 c. = m + k.(mod 26), i= 1,2,“ ,n 
例 >= data security, #=star. 


首先 将 明文 分 成 每 假 有 四 个 字符 的 串 , 


data secu rity 


每 段 用 star 加 密 得 密 文 : 

VTTR KXCL JBTR 
表 1.4.1 是 维 吉 尼 亚 方 阵 ， 可 以 利用 它 来 加 密 和 解密 ， 例 如 利 
用 star 对 data 加 密 得 VTT'R, 第 一 个 V EE $ fi d IERA, 


第 二 个 了 是 在 上 行 a 列 上 找到 ， 其 余 依 此 类 推 
Xi 维 吉 尼 亚 方 阵 


明文 :a b cde fghi jkhlmnopqrstuvuwzy# 
ABCDEFGHIJKLMNOPQRSTUVWXYZ 
BCDEFGHIJKLMNOPQRSTUVWXYZA 
CDEFGHIJKLMNOPQRSTUVWXYZAB 
DEFGHIJKLMNOPQRSTUVWXYZABC 
EFGHIJKLMNOPQRSTUVWXYZABCD 
FGHIJKLMNOPQRSTUVWXYZABCDE 
GHIJKLMNOPQRSTUVWXYZABCDEF 
HIJKLMNOPQRSTUVWXYZABCDEFG 
IJKLMNOPQRSTUVWXYZABCDEFGH 
JKLMNOPQRSTUVWXYZABCDEFGHI 
KLMNOPQRSTUVWXYZABCDEFGHIJ 
LMNOPQRSTUVWXYZABCDEFGHIJK 
MNOPQRSTUVWXYZABCDEFGHIJKL 
NOPQRSTUVWXYZABCDEFGHIJKLM 
OPQRSTUVWXYZABCDEFGHIJKLMN 
PQRSTUVWXYZABCDEFGHIJKLMNO 
QRSTUVWXYZABCDEFGHIJKLMNOP 
RSTUVWXYZABCDEFGHIJKLMNOPQ 


тщ че & 5 cR 


x <” ° ай < m x. 


* 155 


s 


ЕЯ 


STUVWXYZABCDEFGHIJKLMNOPQR 
TUVWXYZABCDEFGHIJKLMNOPQRS 
UVWXYZABCDEFGHIJKLMNOPQRST 
VWXYZABCDEFGIIIJKLMNOPQRSTU 
WXYZABCDEFGHIJKLMNOPQRSTUV 
XYZABCDEFGHIJKLMNOPQRSTUVW 
YZABCDEFGHIJKLMNOPQRSTUVWX 
ZABCDEFGHIJKLMNOPQRSTUVWXY 


类 似 可 以 构造 鲍 福 德 (Beautort) 加 密 算法 如 下 


Е(т) = c = ecc 
c, = Ё, — m, (mod 26), i = 1,2,,2 


BED БЕ, Ж 1.4.2. 
#142 鲍 福 德 方 阵 


MIX: a b cdefghijkimnopgrstuvwrye 


a 


b 
с 
d 


E 


ч 


ZYXWVUTSRQPONMLKJIHGFEDCBA 
AZYXWVUTSRQPONMLKJIHGFEDCR 
BAZYXWVUTSRQPONMLKJIHGFEDC 
CBAZYXWVUTSRQPONMLKJIHGFED 
DCBAZYXWVUTSRQPONMLKJIHGFE 
EDCBAZYXWVUTSRQPONMLKJIHGF 
FEDCBAZYXWVUTSRQPONMLKJIHG 
GFEDCBAZYXWVUTSRQPONMLKJIH 
HGFEDCBAZY XWVUTSRQPONMLKJI 
IHGFEDCBAZY XWVUTSRQPONMLKJ 
JIHGFEDCBAZYXWVUTSRQPONMLK 
KJIHGFEDCBAZY XWVUTSRQPONML 
LKJIHGFEDCBAZY XWVUTSRQPONM 
MLKJIHGFEDCBAZY XWVUTSRQPON 
NMLKJIHGFEDCRAZYXWVUTSRQPO 
ONMLKJIHGFEDCBAZYXWVUTSRQP 


* 167 


PONMLKJIHGFEDCBAZY XWVUTSRQ 
QPONMLKJIHGFEDCBAZYXWVUTSR 
RQPONMLKJIHGFEDCBAZY XWVUTS 
SRQPONMLKJIHGFEDCBAZY XWVUT 
TSRQPONMLKJIHGFEDCBAZY XWVU 
UTSRQPONMLKJIHGFEDCBAZY XWV 
VUTSRQPONMLKJIHGFEDCBAZY XW 
WVUTSRQPONMLKJIHGFEDCBAZYX 
XWVUTSRQPONMLKJIHGFEDCBAZY 
YXWVUTSRQPONMLKJ IHGFEDCBAZ 


(2》 ”对 维 吉 尼 亚 密 码 的 分 析 . 
车 随机 地 产生 英文 字母 ， 并 由 此 构成 序列 ， 任 一 特定 的 字 
母 被 选 上 的 概率 为 1/26， 车 两 个 这 样 的 序列 并 列 ， 在 某 一 特定 

的 位 置 上 出 现 相同 的 字母 的 概率 为 ; 
26 x 12) = 1/26 = 0. 0385 


HEREM EDSON, 在 特定 的 位 置 上 同 时 出 现 字 母 a 的 
概率 为 ， 


"ow MË d Ro 9 ox ош 


(0. 0856) = 0. 0073274 


同时 出 现 字母 5 的 概率 为 : 
(0. 0139)* = 0. 0001932 
其 余 依 此 类 推 . 令 : 


P = Sel = 0.0687 


< 
0. 0687/0. 0385 = 1. 784 
OR SREEXE РИ BENE УЯ, 在 特定 位 置 上 出 现 相同 字母 的 
概率 是 随机 产生 的 两 段 字母 序列 的 1. 784 fij. 
如 果 对 某 一 窗 文 出 现 的 字母 频率 进行 统计 得 : fof, 
f.. 
«17 


Л. ++ + fe =1 


4 
"Дита 
= Ул 一 9 X^ + 1/26 
=A- Nnti 
йл, = fs = f. = gs W k = 0. 


E REN. RR fas So ro F ERREK. 
假定 ccce, 是 一 段 密 文 ， 其 中 出 现 “ 的 次 数 为 x。, b 出现 


的 次 数 为 以， 等 等 . n PER a IMR ыл, 一 D 个 由 字母 


а 构成 的 字母 对 ,其余 依 此 类 推 . 这样 c,，cs，…，c。 中 由 相同 
的 字母 构成 的 字母 对 数目 为 : 


Ул -V 
= 


任意 两 个 位 置 上 有 相同 字母 的 概率 为 ， 
ІС = Minn — 1) /n@ — 1) 
e 


IC Æ Index of Coincidence 的 缩写 , 称 之 为 重合 指数 , 表示 
任意 两 个 位 置 上 有 相同 字母 的 概率 . 
A kh, 是 维 吉 尼 亚 密码 的 密 铀 ， 假 定 让 m 个 不 同 
的 字母 组 成 , 可 将 密 文 分 成 mw 行使 每 行 都 是 由 单 表 置换 加 密 的 
HR. CEC CCm Comen M m TT FRR: 
Hn = lem 
«187 


Cmt1 "Ea mt 


2CmT2 Ca md 2 


则 ClEm+1 Сирна t CCm Са papa + °° + Cmim Cn BERR 
置换 的 结果 ， 也 就 是 说 每 - 行 中 任意 两 位 有 相同 字母 的 概率 约 
为 0.0687， 从 不 同 的 行 任 取 两 位 有 相同 字母 的 概率 约 0. 0385, 
即将 它们 看 作 是 随机 序列 中 的 两 位 ， 

在 选 定 了 第 一 位 置 后 ， 从 相同 行 中 选 第 二 个 位 置 的 方案 数 
dal 2 — 1] ,在 不 同行 中 选 第 二 个 位 置 的 方案 数 为 


m ! 


2), 8 


т 


n 


2 


А 
Ie — DIC = i^ - 2) X 0.0385 
十 i 


Z 1) X 0. 0687 
m 


~ — DIC = 7 (0. 0687 — 0. 0385) + 0, 03857 — 0. 0687 
0. 0302 

@ — DIC — 0. 03857 + 0. 0687 

这 个 公式 可 用 来 估计 密 钥 上 HEKE. 这 是 破译 维 吉 尼 亚 密 
码 所 必需 的 . 

(3) 卡 席 斯 基 (Kasiski) 分 析 . 

对 维 吉 尼 亚 密码 的 分 析 ， 首 先 解决 出 密 铀 的 长 度 . 下面 介 
绍 一 种 卡 席 斯 基 分 析 方 法 ， 明 文中 相同 的 两 个 字母 的 密 文 可 能 
是 不 一 样 的 ， 然 而 英文 由 , th, ing, ed, tion 等 字符 出 现 较 多 ， 
只 要 它们 之 间 的 距离 正好 是 密 钥 长 度 的 倍数 ， 则 情况 显然 又 是 
另外 一 回 事 ， 卡 席 斯 基 分 析 便 是 从 这 入 手 ， 分 析 密 文中 重复 出 
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Лт = 


现 的 字符 串 ， 并 求 出 它们 的 距离 进行 分 析 ， 举 例如 下 ; 
已 知 密 文 如 下 
UFQUIUDWFHGLZARIHWLLWYYF 
SYYQATJPFKMUXSSWWCSVFAEV 
WWGQCMVVSWFKUTBLLGZFVITY 
OEIPKSJWGGSJEPNSUETPTMPO 
PHZSFDCXEPLZQWKDWFXWTHAS 
PWIUOVSSSFKWWLCCEZWEUEHG 
VGLRLLQWOFKWLUWSHEVWSTTU 
ARCWHWBVTGNITJRWWKCOTFGM 
ILRQESKWGYHAENDIULKDHZIQ 
ASFMPRGWRVPBUIQQDSVMPFZM 
VEGEEPFODJQCHZIUZZMXKZBG 
JOTZAXCCMUMRSSJW 

对 280 个 字符 进行 统计 得 4 为 9 个 ,B 为 4 个 ,……,Y 共 6 个 ， 

Z 有 12^. IC 计算 得 0. 0431. 
TE Kasiski 试验 ， 以 UI 为 例 在 第 4 位 第 1 次 出 现 , 但 在 第 

229 位 第 2 次 出 现 , 其 间距 离 为 225.1U 在 第 5 位 第 1 次 出 现 ， 

第 123 和 208, 255 KER HMR, 其 间距 离 分 别 为 118, 85, 47, 


225=5X5X3X3 
85 一 5X17 
试验 结果 发 现 2 和 5 的 因数 出 现 的 频率 较 高 
密 钥 长 为 2 的 可 能 性 不 大 , 所 以 密 钥 长 度 可 能 为 5. 现 将 密 
文 分 5 行 ， 并 求 其 重合 指数 IC ШЕ. 


‚ 20. 


UUGIWYJUWAGVUGTFGPTOFPKWPVKC 
UGGWHTCVTKGQGNKQPVQMVPQUKOCR 
1; 1С=0. 0623 
FDLHYYPXCEQSTZYAGNPPDLDTWSWE 
ELWLETWTJCMEY DDARPQPEFCZZTCS 
2, IC=0. 0506 
QWZWYQFSSVCWBFOSSSTHCZWHISWZ 
HROUVUHGROISHIHSGBDFGOHZBZMS 
3: IC—0. 0649 
UFALFAKSVWMFLVEJJUMZXQFAUSLW 
GLFWWAWNWTLKAUZFWUSZEDZMGAUJ 
4; IC—0.0617 
IHRLSTMWFWVKLIIWEEPSEWXSOFCE 
VLKSSRBIWPRWELIMRIVMEJIXJXMW 
5: IC=0. 0617 


可 见 除 第 2 行 外 ， 其 余 行 的 IC 都 在 0.60 以 上 ， 有 力 的 说 明 它 
们 可 能 分 别 是 单 表 置 棉 的 结果 . 

EEK STREETS A Mt 

c = т 二 (mod 26) . 

ERAR, ЖТ А. ВАТАНИ А, 第 7 行 
WEAR ko omk, 6, 后 面 将 设法 求 出 %， 目的 在 于 将 它 
们 联接 起 来 ， 使 之 成 为 同一 密 铀 2 加 密 的 单一 的 密 文 . 

设 第 ; 行 的 字符 数 为 ”, 面 第 7 行 的 字符 数 为 五 , 同 理 第 ; 行 
的 字符 4 的 数目 设 为 ai, 第 了 行 字符 4 的 数目 为 元， 其 它 依 此 
类 推 。 将 两 行 合 并 起 来 的 重合 指数 为 


z 
IC = Mou + n) G + Fe — 1)/[(а + ñ)@ + ñ — 1)] 
4 


= 


Ды 


但 Gi + ña) (e + Ж — 1) 


ETA 
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DIXI necs 
所 以 可 对 第 行 和 第 I 行进 行 试 配合 时 ， 可 将 第 i 行 的 每 一 元 素 


ЖЕШ & (mod 26) 的 运算 . 3X 8 &—0, 1, 2, 


Us. 25. 观察 使 IC 


达到 最 大 的 的 值 ， 其 实 也 就 是 使 ni 达到 最 大 的 值 °. 


例如 ， 第 1 行 


UUGIWYJUWAGVUGTFGPT 


Hk=2 时 ， 便 得 相应 的 


WWIKYALWACIXWIVHIRV- 
现 将 第 i 行 每 位 后 推 k 位 得 到 的 新 序列 和 第 7 行 联合 ， 计 


算 2ynui， 并 将 结果 列表 如 下 ， 


101 112 127 106 
112 108 125 103 


109 1312087 


124 


141 


144 98 103 
139 139 110 


152 142 122 100 
102 91 124 94 


93 
90 


91 
116 


110 128226" 
148 129 134 


3 125 107 134 125 
114 143209" 117 


108 
135 


100 
95 


159 126 126 
90 116 141 


131 218° 132 74 
113 154 161 125 


104 


105 
11 


118 
112 


92 107 146 
107 164 111 


109 121 214* 109 
165 134 143 92 


115 
153 


107 


127 
118 


84 
114 


116 100 99 
106 95 137 


148 125 131 99 
104 117 134 106 


103 
138 


121194" 114 


125 


143 


105 


155 


93 115 89 
119 118 77 


99 103 120 130 
105 108 158 119 91 


122 


152 


129 


129 


100 


147 206° 110 86 103 


96 123 136 


116 98 123 


129 98 13011921 
162 122 138 85 133 


“113 125 
214 164 


94 134 88 95 95 118 
108 114 69 123 


142 137 99 141 152 
118 108 134 209" 109 


145 94 
94 111 


77 97 122 120 97 155 


128 88 115 150 95 99 


|&°==16 


140 113 113 110 108 


j—5|125 107 93 120 133 


111 104 


156 112 


93 141 117 120 128 188" 


58 102 149 146 104 145 


民 " 一 12 


其 中 "是 最 大 值 所 在 位 置 . 可 见 词 组 密 钥 的 第 1 个 字母 和 第 
2191914009, 9824918 3 个 问 距 离 为 3，… 
根据 以 上 的 分 析 ， 可 得 可 能 的 密码 有 


AJMQC BKNRD CLOSE  DMPTE ENQUC 
FORVH  GPSWI  HQTXJ IRUYK  JSVZL 
KTWAM  LUXBN МУҮСО NWZDP OXAEQ 
PYBFR QZCGS | RADHT SBEIU ТСЕЈУ 
UDGKW  VEHLX WFIMY XGJNZ ҮНКОА 
ZILPB 
试 将 5 段 密 文联 接 得 密 文 (C?) 


UWEEGUUKPFGCNKPIYKVJWPMPQYPE 
KRJGTUKUOGCUWTGFDAVJGUGHQWTV 
JKPIUKPVJGQTFGTPCOGFRGTUGXGT 
CPEGECTGHWNOGVJQFUQHCPCNAUKU 
KPVWKVKQPNWEMVUGCDKNKVACVNGC 
UVVQTGCFVJGNCPIWCIGQHVJGQTKI 
KPCNVGZVKUXGTAFGUKTCDNGDWVPQ 
VGUUGPVKUNUWEJKUVJGQRGPKPIUG 
PVGPEGQHRCTMGTJKVVUOCPWCNHQT 
VJGUQNWVKQPQHOKNKVCTAEKRJGTU 


统计 26 个 英文 字母 出 现 的 频数 : 


+ 23+ 


A B С D E F С Н I J K 
5 0 20 4 9 7 36 7 6 M 25 
L M NO PQR S TUK V 
0 3 13 5 22 16 5 0 17 23 26 
W X Y Z 
12 2 2 1 


相应 的 重合 指数 IC= 0. 0654， 因 而 密 文 C" 可 看 作 是 下 面 明文 
六 通过 凯撒 变换 加 密 而 成 的 ， 

Success in dealing with unknown ciphers is measured by 
these four things in the order named perseverance, careful 
methods of analysis, intuition, luck. The ability at least to read 
the language of the original text is very desirable but not es- 
sential. Such is the opening sentence of Parker Hitt's manuel 
for the Solution of Military Ciphers. 


$5 不 确定 性 的 度量 一 一 炳 的 概念 


OO 从 密码 学 的 分 析 可 以 看 出 ， 明 文 是 毫 无 不 确定 性 可 言 
的 . 密 文 则 不 然 , 随 着 分 析 的 进行 , 不 确定 性 程度 逐渐 减 小 , 最 
后 完全 确定 、 不 同 的 密码 ， 它 们 的 强度 也 不 一 样 ， 如 何 测度 不 
确定 性 的 程度 呢 ? 下 面 引进 坑 的 概念 ， 它 是 由 离 农 提出 的 ， 商 
农 的 信息 论 是 密码 学 的 一 个 理论 基础 . 

UH k 个 等 概率 事件 ，t 一 1 时 是 确定 性 事件 ， 它 没有 任何 
不 确定 的 因素 ,但 随 着 的 增加 ,不 确定 的 成 分 便 随 之 增 大 , 从 
信息 的 角度 来 看 ， 如 果 获 得 了 确定 性 事件 的 信息 ， 这 个 信息 就 
没有 价值 ,或 者 说 它 的 信息 量 等 于 零 . 比如 说 :“ 我 出 门 时 看 见 

eMe 


太阳 从 东方 升 起 ” 没有 人 对 这 句 话 感 兴趣 , 因为 从 中 得 不 到 任 
何 新 东西 ， 但 是 如 果 说 :“ 我 见 到 不 明 的 飞行 物 "， 则 完全 不 一 
样 . 所 以 ， 不 确定 性 越 大 ， 信 息 量 也 越 大 ， 反 之 ， 则 越 小 ， 而 
确定 性 事件 信息 量 等 于 零 . 

如 何 度量 不 确定 性 呢 ? 假定 用 一 个 的 函数 来 表示 它 ， 它 
满足 : 

(a) /(1) =0; 

(0 ЖА, WE FR > fO); 

(с) BARI 种 等 概率 事件 :aaz,…yayB H m 种 等 概率 
BHE Lb bourn A 和 如同 时 出 现 的 事件 有 zi 种 ,显然 fm) 
> /@у,/ lm) > fin. ifm) = f(D 十 flm), 很 自然 地 
想起 

ZG) = logk =— log + 
本 书 假定 对 数 以 2 为 底 , RA. “HE” HAG, 当然 以 EK 
或 以 10 作 底 也 是 可 以 的 . 

可 将 这 个 概念 推广 到 若 有 上 个 不 等 和 概率 的 事件 A: ar, as, 

…，aw， 假 定 它们 出 现 的 概率 分 别 为 Pis Ро, s Ра, 满足 
已 十 P? 十 … 十 已 一 1. 

BEX 1.5.1 HGO0-—-—P,logP,— P;logP,— --— PJlogP, 
ШИЖ HCA) 为 事件 4 BRI. 

# P,=P,=--=P,=1/k 时， HOD = ов, 和 前 面 等 概率 
事件 的 讨论 是 一 致 的 . 

TE HC 来 衡量 事件 А 的 不 确定 性 . 

Bi 对 某 一 地 区 进行 多 年 的 观察 ，5 月 份 南天 的 枝 率 为 
0.4， 哺 天 的 概率 为 0. 6， 而 11 月 份 瑚 天 的 概率 为 0. 65， 下 雪 
的 概率 为 0. 15， 雨 天 的 概率 为 0.2， 试 问 它们 的 不 确定 性 哪个 

+ 25» 


较 大 ? 
4 4 为 5 月 份 的 天 气 ，B 为 11 月 份 的 天 气 . 
H(A) —— 0. 4log0. 4 — 0, 6log0. 6 == 0. 9694( 比 特 》 
H(B) —— 0. 65log0. 65 — 0. 151080. 15 — 0. 2log0. 2 


2e 1. 2772C 068 i 

HOD» > H(A) j 
BL11 月 份 天 气 的 不 确定 性 较 大 Е 
(2) HEREKE. i 


(a) lim(— PlogP) = 0 
Р 


ABF EH. Hopital) 法 则 可 得 ， 
1 


lim(PlnP) = lim 至 = lim — = lim Р) = 0 


Р-0 


Р P: 
() зру, 400, НСА) 的 信 达 到 最 大 .也 
就 是 当 4 的 上 个 事件 为 等 概率 时 ， 其 不 确定 性 达到 最 大 . 
直观 上 也 是 不 个 事件 为 等 概率 时 ,不 确定 性 达到 最 大 . 问题 
BEE РЕР, | Pi 一 1 条 件 下 求 : 
H(A) = Рио ү. + Ра р. +` = + Palog $ 
的 极 值 . 
利用 拉客 朗 日 (1 автапве) ЖЕ. Ж. 
H(A) 十 АУР, = = Mee * Dor 


DEC 


的 无 条 件 极 值 ， 即 求 : 
aH 3 hp La) 
ЭР, ^ gas = 0, L= 1,2,-- £ ] 
一 iog(P + D + A= 0, (= 1,2,5, 
. 26. 


таш 


Ж P, = P, = == P, = + 


(с) HOSP, PO = НОР, + Pas Ps PD 
P; 
+P, + POBRE) 
证 ,可 以 采取 直接 验证 的 方法 证 : 右 端 一 左 端 . 
Р 
HO, Pus Pans DOO. +PoH 55. YES ‚БЁР; 


=—(Р\+Р,„)1од(Р,-+Р)—Р: жс Рио 


Р, Р, 
арор рів Б.Б EE ERE) 


一 一 (P 十 Ps)log(PI 十 Pi 一 PjogP 一 … 一 PdogP 
—PlogP, —PhogP:+ (^; P,)log(P,+P;) 
=—PilogP;— PslogP:—*"…— P,logP, 


还 有 更 一 般 的 结果 可 以 作为 推论 : 

HO, Pus P Pa s Pa) 

SHP HPH HPP POHO +P, + +P) 
| P. . Р, 

LP FP, tP, P FP, +P, 


xH! 


$6 BERE 


设 事件 AF as а, cn a 种 可 能 结果 ， 它 们 出 现 的 概率 
HÀ Pla) , i=1, 2.500, 1. BBE BF m PIRR Б, be 
它们 的 概率 为 P O0. j=l, 2, om. WAR BE 
出 现 的 事件 АВ 有 im 种 种 可 能 结果 . 若 А 和 至 是 相互 独立 的 ， 
则 PCas,) = Pla)P(6) ， 也 容易 证 明 ， 这 时 
. 27e. 


H(AB) = H(A) + HG) 


证 明 如 下 : 


т Ура) = Ere) =1 


=1 ica 


H(AB) =— У) 2; Plab logP (aby 


STA 


mM 
=— У) У) PaP ПовР(а,) + logP(5)] 


em 


= 一 MP()logP(a) РФ) 


Ext xd 
~ J Pa) 3J PG)logP(G,) 
= H(A) + H(B) 


上 面 这 个 等 式 是 事件 4 和 B 互相 独立 的 结果 .如 车 不 然 ， 


Plab) = P(a)P,(b), i = 1,2. j = 112 
А 


H(AB) = 一 3, 3) PGOP, @)[logP(a,) + logP, G5] 


PLE 


=— Mee Xr. (5) )logP a.) 


nan 


一 六 pda Ўв, GplogP, (b) 


бек! P$ 


但 Y, = DE = LEE 


Шы 


+ H(AB) = H(A) + HKGD 


其 中 н, = SIPGOH, (m 


n 


H.B) =— DP, OplogP, (0) 


= 
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НВУ 称 为 给 定 了 A 的 条 件 下 В ИИЙ, RERE. 


S M 为 明文 空间 ,C 为 密 文 空间 . 在 截取 密 文 <EC 的 条 件 


下 ， 明 文 M ЮЕ 


š 
A 
ii 
£ = 
AE 
М 
| = 
MES 
š چ‎ 
x Š 
hl 
Ж 


Aisznifufgqi 


它 的 明文 可 能 有 如 下 26 个 


= 


g h 


+ 29+ 


b n m i h c d z a k d 
c o n s i d e a b { е 
d p o t j e f s b c m f 
e q p u k f g t c d n Е 
f r q v 1 g h n d e o h 
n wo m h v e f p i 
z кенти, жй, 的 概率 最 大 ,这 时 它 的 条 件 


JUS HcOM D 表 之 ， 有 : 
H,(M,1) =— 和 PdelogPdey = 41250080 


£z. 


若 取 两 个 字母 进行 分 析 , É т Ё, {Н 
PEP = РФР.) 
其 中 PD FH € RA 0 的 概率 ， 如 PG) 一 0. 0856， 
РФ) —0.0139 等 一 样 , Р.) 有 统计 结果 ОХ). 计算 结果 见 


ж. 
Xia 
m=ap Р(а)Р.(В) Р. (т) 
ат 0. 00241 0. 07341 
n 0 0 
co 0. 00637 0.19441 
dp ° ° 
p 0. 00044 0. 01353 
fr 0. 00351 0.10717 
gs 0. 00051 0.01555 
ht 0. 00123 0. 03755 


т=ай POPA Р,(т) 
iu 0. 00007 0. 00211 
j. 0 0 
ku 0 0 
Ix 0 0 
ту 0. 00048 0. 01459 
як 0. 00003 0. 00086 
оа 0. 00068 0. 02068 
E 0 0 
qc 0 0 
rd 0. 00191 ` 0.05827 
se 0. 01080 0. 33255 
tf D. 00007 0.00223 ' 
ug 0. 00095 0. 02903 
vh ° 0 
wi 0. 00314 0. 09568 
zj 0 0 
yk 0. 00007 0. 00207 
zl 9. 00001 0. 00031 

可 算得 
H.(M,2) =— DP,(m)logP. Cm) 
=, 
= 2.9497 


类 似 可 得 
H.(M,3) = 1.2115( 比 特 》 
H,(M,4) = 0.9356( 比 特 》 
H.(M,5) = 0( 比 特 》 
即 截获 5 个 字符 时 便 可 确定 明文 , 现 将 4 一 3, 4, 5 的 计算 结果 
列 为 表 1.7.2. 插 号 里 的 数 使 是 Pio. 
-31° 


т 2-3 
amiqg |0.00002(0. 00717) 0 0 
bnmrh 0 0 0 
consi |0.00139(0.49821)|0.00010(0. 29412) 0. 00001 (1. 00000? 
dpotj 0 0 0 
paqpuk ° ° 0 
frqul 9 0 0 
gsrwm 0 0 0 
htszn |0.00005(0.01792) 0 0 
1utyo |0. 000010. 00358) 0 0 
jvuzp 0 0 0 
kwvagq 0 0 0 
lrwbr 0 0 0 
myzes 0 0 0 
neydt 0 0 0 
oazlu 0 0 ` ° 
bba ғо 0 0 0 
qcebgu 0 0 ° 
rdchz |0.00001(0.00358) |0. 0000100. 02941) 0 
sedi у |0. 0013000. 46595) |0. 00023(0. 67847) 0 
tfejz |0.00001(0.00358) o I 0 
ugfka 0 0 0 
vhglh 0 0 0 
wihme 0 ° ° 
rjind 0 0 0 
ykjoe 0 9 0 
zibpf 0 0 0 

从 以 上 可 知 ， 随 着 ВОЕНЕН 2 И. n=1 时 。 


的 概率 最 大 ，z 一 2 时 ， 暖 味 度 降 至 2.9497 比特 ， 以 se 的 出 现 
概率 为 最 大 .nz 一 3 时 con 和 sed 出 现 的 概率 分 别 为 0. 49821 和 
0.46595. п=4 时 情况 仍 不 明朗 . n—5 Rf Hc(M,5) 一 0， 不 确 
定性 消失 .中 明文 应 为 considerable. 


$7 商 农 (Shannon) 理 论 


а) 随机 密码 是 假定 : 

(а) 密 钥 空间 所 有 密 钥 均 邱 分布， 即 每 个 密 钥 概率 相等 . 

(b) 长 度 为 ”的 字符 串 由 两 部 分 构成 , 一 部 分 是 有 意义 的 ， 
另 一 部 分 是 无 意义 的 . 

CO 有 意义 部 分 的 字符 串 出 现 的 概率 也 是 相等 的 

英文 字母 26 个 ,由 它们 构成 位 字符 串 的 数目 为 26"==2”， 
7 一 log:26 一 4. 7004 , 其 中 有 意义 的 一 类 其 数目 设 为 2", 则 传输 
长 度 为 = 的 字符 串 为 有 意义 明文 的 概率 为 ， 

P = 2"/2" 


其 中 d=¥—a, 
称 为 语言 的 完 余 度 . 

随机 密码 假设 n 位 字符 串 中 有 意义 的 部 分 出 现 的 概率 是 相 
等 的 . 所 以 , 任 取 密 文 <， 随 机 地 选择 一 密 钥 对 < 解密 ， 得 到 有 
意义 明文 的 概率 为 2‘. 因此 ,元 余 度 愈 大 获得 有 意义 的 明文 
的 概率 愈 小 . 

(2) 唯一 解码 量 . 

商 农 的 贡献 在 于 他 提出 了 以 宛 余 度 作 为 密码 分 析 的 基础 . 
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从 此 ， 进 一 步 对 具有 某 种 宛 余 度 的 明文 定量 给 出 破译 密 文 所 需 
的 字母 数目 , 他 称 之 为 唯一 解码 量 . 假定 密 钥 空间 天 = (kke 
ЕМ 中 每 一 个 密 钥 都 是 等 概率 的 ， 这 样 每 一 个 密 钥 的 概率 
为 : 

P = 1/N, 


HK) =— № уу gon, = log,N, 

所 以 ， 用 所 有 的 密 钥 进 行 脱 密 可 能 得 到 有 意义 明文 的 期 望 
值 等 于 202745 — 200-9. 3: HOO du 大, 则 获得 有 意 
义 译 文 的 数目 也 多 . 34 HCR) =dn 时 ,有 意义 的 译文 正好 只 有 
一 个 , 这 个 ”就 称 之 为 唯一 解码 量 , 用 Ud (unicity distance) 3€ 
mE. B. 

Ud d, = H(K) 
Ud 给 出 了 破译 密码 所 需 的 最 少 密 文字 符 数 ， 也 就 是 确定 密 铀 
所 需 的 最 少 字 符 数 . 
例如 对 于 词组 密 钥 密 码 ， 密 钥 的 数目 为 26! 
HOO =— (261) ques 261] 
= log, (261) 
= 88. 382( 人 比特) 
|A| = 26, r = log,26 = 4. 7004 

至 于 有 意义 的 明文 数 自 ， 有 多 种 不 同 的 估计 ， 先 介绍 其 中 
最 简单 的 一 种 ， 当 明文 的 长 度 充分 大 时 ，26 个 英文 字母 出 现 
的 数目 设 为 z。，w。，…，n,。 若 有 意义 的 明文 的 概率 为 P， 则 : 

P = PePe Ph. 

ЖР Po Po ++. РОХЕ a. b, +з, z 出 现 的 
BOR, MHE: 

n, = пР,, n, = nP,, =, n, = пР,. 
- 3e 


= (PRPpePR) 
Z Emas, 的 有 意义 明文 数目 为 8， 根据 假定 它们 出 现 的 
概率 相等 ， 即 ， 
1 1 
P= + S= + 
log»S = —log,P = —n(P.log,P., + P,log,P,+ "+P,logsP:) . 


依据 统计 结果 ， 


SJ Pdog,P, = — 4.192 
e 
S = жиы 
а, = 4.192 


但 У, = 4. 7004 
d, = r, — a, = 4.7004 — 4.192 = 0. 5084 
Ud = H(K)/d, = 88. 382/0. 5084 2« 174 
也 就 是 说 对 于 词组 密 钥 密 码 系统 来 说 ， 唯 一: жиш 174 
个 字符 . 
叭 -解码 量 的 估计 归根 到 底 和 有 意义 明文 数目 的 估计 相 
关 . 上 面 的 例子 是 假定 : 
Р = PaPe Pp = (Ph Ph PF.) 
没有 考 卡 到 前 后 缀 的 关系 ， 比 如 对 2- 字 母 组 ， 
m = munayma ты уты 
出 现 概率 为 
Р(т)  PGium)P Gsm) P (maa my) 
唯一 解码 量 只 是 理论 地 估计 到 至 少 需要 多 少 个 密 文 字母 可 
以 确定 明文 ， 但 没有 解决 如 何 确定 ， 需 要 多 少 计算 量 . 
G 完全 保密 . 
假定 P (m) 表示 明文 m 被 发 送 的 概率 ， 同 样 P(e) 为 收 到 
EX c 的 概率 , Pal) 为 发 送 明文 m, 收 到 密 文 c 的 概率 ， 依 此 
。35。 


同样 解释 PIU. 根据 概率 乘法 定理 有 : 
P.n) Ple) = Palo Pm) 


所 谓 的 完全 保密 指 的 是 满足 等 式 
Pn) = Plm) 

的 密码 系统 ,直观 上 表明 截获 密 文 

知 : 


c 对 确定 明文 无 帮助 ,不 难 推 


P.Gn)P (e) = Р(т)Р(с) = Р„(с)Рот) 


P (e) = Panle) 


实际 上 PG) = P.(c) 是 完全 保密 的 充 要 条 件 . 

什么 样 的 密码 系统 才 是 完全 保密 的 ? 可 以 从 Р„(с) = P(e) 
和 P.(m) = P Gn) 这 两 个 条 件 来 观察 - 

根 如 明文 空间 M = mmm m) , 密 文 空间 C = (созсо, 


эс), RHR К = (А, 
P.(m) = Pn) 

说 明 C 空间 里 的 任何 一 个 密 文 .者 

个 密 锅 将 它 解密 成 明文 m， 而 且 


sk) o Е €C, 但 


可 以 在 密 钥 空间 KK 里 找到 一 
机 会 均等 .同样 从 Р, 一 


PG) 可 说 明 任何 一 个 明文 mE М, 部 可 以 找 一 密 锅 上 将 它 加 密 


成 密 文 <， 而 且 机 会 也 均等 ， 如 若 


不 然 , FmEM, 不 存在 kE 


K, m 加 密 成 c<。 已 知 c， 便 可 断定 Pn) = 0, 和 P.(m) = 


PO) 的 假定 矛盾 这 样 密 文 < 对 


断定 m 不 是 没 帮 助 ， 恰 恰 相 


E. REA EHF m 的 可 能 性 ， 提 高 了 破译 可 能 性 ， 换 一 句 话 
说 ， 完 全 密码 系统 要 求 密 钥 量 至 少 应 该 和 明文 一 样 多 ， 


$8 数据 加 密 


FRE (DES) 


DES Æ Data Encryption Standard 的 缩写 ， 意 即 数据 加 密 
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标准 . 现在 美国 用 的 数据 加 密 标准 (RFK DES) 是 由 IBM 公 
司 研制 的 1977 年 美国 国家 标准 局 批准 它 供 非 机 密 机 构 保 密 般 
信使 用 ，DES 的 公布 在 密码 学 发 展 史上 是 件 大 事 . 在 这 以 前 保 
密 道 信 双 方 使 用 的 密码 系统 都 是 由 通信 双方 秘密 约定 ， 通 信 密 
码 的 标准 化 旦 我 们 这 个 信息 时 代 的 需要 ， 它 带 来 的 好 处 是 显 而 
易 见 的 ， 但 必须 完全 可 靠 ， 能 经 受 住 强 有 力 的 攻击 . 
DES 是 典型 的 传统 密码 体制 ， 它 利用 传统 的 换 位 和 置换 等 
加 密 方法 ， 现 在 介绍 算法 如 下 ， 
假定 信息 空间 都 是 由 O, 1) 组 成 的 字符 串 ， 信 息 被 分 成 
84 比特 的 块 , 密 钥 是 56 比特 . 经 过 DES 加密 的 密 文 也 是 64 tk, 
特 的 块 . Em 是 一 个 64 比特 的 信息 块 , 为 56 比特 的 密 钢 Ш, 
mcomgmyema m = 0,1, i= 1,2,2-,64 
bodkeekh., k= 0,1, i=1,2,--,64 
ИФА, ba kao Bons Bus kas Бы, ka НЕЮ (У. KEKE 
作用 的 仅 56 fit. 
ПЕЅ От) = IP s Tys ° T, ° Tuo Т, T, *1Р(т) 
(1.8.1) 
IP Ж) Е, IPE IP ili, Т, i=), 2, —, 16 是 一 系 
列 的 变换 ， 分 别 叙述 如 下 : 
CO 初始 置换 IP CE 1. 8. 1). 
这 说 明 若 m=mm ma 
IPOD = manam amy mimm; 
同样 理解 IJP LIP 中 的 第 -位 是 58, 请 注意 IP-: 中 的 第 58 
位 正好 是 1, 也 就 是 说 在 IP 的 置换 下 第 58 位 换 为 第 1 位, RE 
TA 在 IP' 的 置换 下 ， 应 将 第 1 位 换 回 第 58 位 ， 余 此 类 推 . 
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0) EGET. 

EX RER (Т) HBAS L-R- Meh Las RSS 
REZE EBE 32 比特 和 右 半 部 分 32 比特 ， 则 第 ; 次 近代 的 输出 
《也 就 是 第 ;十 1 次 迭代 的 输入 ) Ж: 

L. = Ras К, = L BR ik) 
其 中 四 是 按 位 的 模 2 加 ， 邵 : 
000=0, 001=100=1, 1@1=0 
kift 56 比特 的 密 钥 大 确定 的 48 НИН, £ 是 将 32 比特 的 
"符号 串 映 象 为 32 比特 的 符号 率 ， 具 体 算法 见 图 1.8.2. 


+ 


Ra 


ШШШ T 
证 r di r m1 ЧГ 


ШШ 
Jd 


FK a ki) 


图 1.8.3 
f (R, k) 功能 的 第 一 步 是 由 忌 将 32 比特 的 输入 转 为 48 比 
特 , 5 k 作 @ 运 算 后 分 成 8 组 , 每 组 6 比特 , PMES. So 
… -Ss， 输 出 还 是 8 组 32 比特 ， 最 后 通过 置换 PP 输出 . 
(a) Е HERR GE 1. 8. 3) 给 出 如 何 将 32 比特 转换 为 48 
比特 ,总 共 8 行 6 列 ， ШӘ. 
. Riy = nnns 


MI EG) = rrr Tar 


(b) P 是 对 输入 的 32 比特 进行 置换 ， 产 生 32 位 输出 ， 如 


31.8.4 RR: 
R183 EBENA #184 PEERS 
3 1 2 3 4 5 16 7 20 21 
4 5 6 7 8 8 29 12 28 17 
8 9 10 11 i2 13 1 15 23 26 
12 13 14 15 16 17 5 18 31 10 
16 17 18 19 20 21 2 8 24 14 
20 21 22 23 24 25 32 27 3 9 
24 25 26 27 28 29 19 13 30 6 
28 29 30 31 32 1 22 11 4 25 


ВАТА H = eth 
则 输出 为 РОН) 一 hehrhsoha highs hs 
(с) 8 个 S 盒 是 将 6 比特 的 输入 映射 为 4 比特 的 输出 GRE 
1.8.5: 
1.8.5 
0123456 7 8 9 101112131415 
14 4 13 1 2 18 1 8 3106125 9 0 7| 
6 15 7 4 14 2 13 1 10 6 12 i1 9 5 
8 
2 


© 
ә 


5 
4 1 14 13 6 2 11 i5 i2 9 7 3 10 5 
1512 8 4 91 75103 1410 0 6 13 


ш юе © 


1518146113 4 9 7 2 1312 0 
1106 9115/5 
6 9 3 
7120 5 


коо‏ م ص 
= 
~ 
© 
a‏ 
© 

o о о ч 
Ei 
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8 9 101112131415 
113127114 2 8 
2851412115 1| 8; 
2 12 5 10 14 7 
7 4 1514 3 1 5 2 12 


ою н о 
S 
= wo 
е 


2 8 5 U15 4 15 
150 3 4 7 2121101 9| S, 

13145 8 4 

4 5 1112 7 2 14 


ooo 
е 
^ 
© 
o ош س‎ 
[3 
© 


19 
8 6| S, 
01 


ә юзо 
= 
n 
5 
= 
э 
^ EI 
= 
© 
S 
^ 
ч о жоош ео 


5 
138) S, 


оын ө 
" 
x 
= 
E 
ою oo 
æ 
S 
E 
E 
е 
s 
am © 
z 


0 9 6 

130 1 7 4 9 110143 5 12 2 15 8 6 
3 6 9 Sr 
4 0 3 


юк ©‏ س 
= 
3[ 


$1113 8 1 15 14 2 12 


01132 8 4 6 151 2 10 9 3 14 8 0 12 7 
1]11513 8 10 3 7 4 12 5 6 11014 9 2] S, 
217114 1 912142 0 6 101315 3 5 8 
3|2 1147 4 10 8 131512 9 0 3 5 61 

以 S, 盒 为 例 说 明 它们 的 功能 如 下 ; 

ЖЕЛ bibrbibibsba 
其 中 如 bs 两 位 二 进 制 数 表达 了 0~3 УНИ, Debs bab S LE 
进 制 数 表达 0 一 15 之 间 的 某 个 数 ， 在 5, RHN bbs РАБЫ, 

m 


FIREH m, Ост 15, # m—mimimam,, W| mumzmsms 便 
是 它 的 4 比特 输出 . 

例如 , HA 001111, bbs =01=1, b,bxb.b,=0111=7, HI 
ES 中 的 第 1 行 第 7 列 求 得 数 1， 所 以 4 比特 输出 为 0001. 

又 如 对 于 S: 盒 输入 为 101011, W S, H 3 fr 5 列 元 素 为 
15， 故 输出 为 1111. 

(d) 下 面 介绍 如 何 从 56 比特 的 密 铀 在 计 算 志 ,一 1，2，…， 
16. 将 上 分 成 8 组 ,每 组 7 比特 ， 另 加 奇偶 校 验 位 ， 得 64 比特 
的 密 钥 ， 即 其 中 第 8，16，24，32，40，48，56，64 位 是 校 验 
z. 的 生成 过 程 如 图 1. 8. 3. 
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其 中 PC 一 1 见 表 1.8.6. 
»18.6 PC 一 1 


57 49 41 33 25 17 9 


14 6 61 53 45 37 29 
21 13 5 28 20 12 4 
PC 一 1 表 为 8 行 7 列 , 分 两 部 分 , 前 4 行为 C。， 后 4 行为 
D, MBER, 
k= hk 
Я) С, = kykakuks 
D, = kaks kki 
下 面 介 绍 如 何 从 C... DR Cris Бал, i0, 1, 2, +, 15, 
设 : 
С, = acrea, D, = didy da 
首先 变 作 左 移 (LS) 运 算 ， 左 移 的 位 教 见 表 1.8.7. 


1.8.7 


ак 2 3 + 5 6 7 8 9 10 H E 1з її 15 16 


ABk 1 2 2 2 2 2 2 12 2 2 2 22 1 
例如 ， 设 
C, = cerven, D; = didis da 
则 C, = ceset, D; = did, dud, 
C, FI D, 是 由 Cs、D, 左 移 2 位 而 得 到 , m C, D, 由 C, 和 
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D, 左 移 一 位 而 得 ， 故 
C, = сс, °сесусусзсү, D, = дй dad d did, 
PC 一 2 置换 如 表 1.8.8， 共 8 行 6 列 48 个 元 素 . 
1.88 РС—2 
14 17 H 24 1 5 
3 28 15 6 21 10 
23 19 12 4 26 8 
16 7 27 20 13 
41 52 31 37 47 55 
30 40 51 45 33 48 
44 49 39 56 34 53 
46 42 50 36 29 32 
Pin, C.D—b bebes, Mj 
Ë, = bubububu убыр 


$9 DES 讨论 继续 


DES 的 解密 过 程 和 加 密 过 程 相似 ， 只 不 过 将 密 钥 的 顺序 倒 
过 来 ， 即 用 DESK DES 的 解密 过 程 ， 和 公式 1. 8. 1 比较 有 : 

DES' = IP o T, Т, о Т, IP 0.9.1) 
Д) DES" o DES = IPT ° T; 2 Tg ° (IP e IP75) e Tis 

s Ti se e T, IP 

由 于 ІР 。IP-: = L I 为 异 等 置换 . 

2. DES7' e DES = IP T, ° T, 0 == (Tg Ty) ° Ts 

° = TUS IP 
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DES(m) 选 代 至 第 16 次 时 所 得 的 64 比特 分 左右 两 部 分 ， 
[Es B fau opm Rs 
若 对 它 继续 进行 TOES. TE 


Lis t A Ris Rie) [5 


1.9.1 
左 32 比特 为 工 s 的 原因 是 
Ls ФОС) + FRiki) = Lus 
DES-' • DES 
=IP ТТТ е Tis ° бе ТТР 
同 理 , DES 选 代 至 第 15 次 时 所 得 的 64 比特 分 为 左右 两 部 
分 , 各 32 比特 , 为 Ris FN Ls = Lu D/ Ruski). 若 对 它 进行 
TARH La = В, = 了 四 FOR @ FIG) = 
La. 依 此 类 推 ， 可 以 证 明 ， 
DES-。DES = IP?! e IP = I 
“总 而 言 之 ， 在 DES 中 УСК, kie) PERI О ARER 
Т.М. В. #| Lan Ron 8 L, =R, R. = LOG Ru 
.算法 本 身 具备 了 从 L. :恢复 到 L. R. 的 可 能 ， 因 为 
Ra, FOU = LO f(R.,k,.,) © FOU uo 
=L 
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特别 是 S 盒 的 设计 原理 至 今 仍 讳 黄 如 深 ， 在 后 面 读者 将 看 
FE S 盒 的 输入 改变 1 位 ， 输 出 将 至 少 改变 2 位 . 
例 设 明文 为 TSINGHUA (清华 ), BY BEUING ( 北 
京 ) ,将 它们 化 为 ASCII 码 分 别 为 64 位 和 56 位 的 0 一 1 FAR: 
m=01010100 01010011 0100100! 01001110 
01000111 01001000 01010101 01000001 
k=01000010 01000101 01001001 01001010 
01001001 01001110 01000111 
858 KLASSE hss Rios kus Ens kas kass ess hao 
得 64 位 密 铀 字符 串 如 下 : 
01000011 00100011 01010010 00101001 
10100100 01001010 00111000 10001110 
密 钥 经 PC 一 1 得 56 {LPN Co, Do MT: 
С,=10010000 00100101 01011010 0100 
Do 一 10100111 10010000 11101000 0100 
分 别 左 移 1 位 得 ， 
С,=00100000 01001010 10110100 1001 
D,-01001111 00100001 11010000 1001 
由 PC 一 2 产生 如 如下: 
&,—01000011 10010100 00000110 
00000010 01111011 11100100 
т AX IP fg, 
L,—-11111111 01000011 01011001 11010110 
R,—00000000 00000000 00101100 00011010 
E(R,) = 00000000 00000000 00000000 
00010101 10000000 11110100 
ЕСК) Bh = 01000011 10010100 00000110 
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00010111 11111011 00010000 
分 成 8 组 分 别 通 过 S ，S:，…，S。 盒 并 输出 
5, $, S, 5, 
010000 111001 010000 000110 
H V V $ 
0011 0000 0001 0011 
5, S, 5, 5, 
000101 111111 101100 010000 
4 V 4 y 
0010 1101 0111 1010 
BI S 盒 的 输出 为 32 FRE, 
00110000 00010011 00101101 01111010 


E P S Rok) 
10011110 01010010 00100110 10001010 


出 此 可 得 第 一 次 迭代 后 的 结果 


i=00000000 
R = 01100001 
ътт. 
4, = 10010000 
01101000 

kı = 11000001 
01100000 
k, = 11000100 
10010011 

ks = 00010010 
10000111 

4,= 00101000 


00000000 
00010001 


00100110 
10000011 
00010110 
01011101 
10011010 
11000010 
11110010 
00100011 
01010101 


00101100 
01111111 


00101001 
00110000 
11000100 
01000010 


01100010 


00011010 
01011100 


01001100 


10100110 


10100011 


10010100 


01011110 
+47 


00001110 

#, = 11100000 
11100001 

ka= 00000001 
11110100 
ь=11111110 
00011110 

kıa = 00001010 
11010001 

kı = 00001000 
01001101 

Ü = 00100101 
00101001 
122200000011 
11000010 
1211011000 
00010110 

415 == 01010100 
00010000 
41210101000 
01000100 


01000100 
01000001 
11011000 
11000011 
00001001 
01000000 
11011001 
11000011 
00110011 
00011001 
00100000 
00101000 
01010100 
01101100 
10011100 
00101101 
10001011 
10100110 
00101101 
00101001 
10100110 


第 2 到 第 16 次 迭代 的 结果 如 下 ;: 


L,=01100001 

R,=11000000 

L,7-11000000 

R,—11001110 

L,—11001110 
48+ 


00010001 
11011000 
11011000 
10101100 
10101100 


01001101 


00010001 


01001000 


00001000 


00011111 


01001001 


10100000 


10010000 


00001001 


10100100 


01111111 


11010101 


11010101 


10101011 
10101011 


01011000 


00100001 


00101010 


00011011 


00000111 


11001000 


11100001 


01010001 


10011110 


00111001 


01011100 


01101100 


01101100 


10010010 
10010010 


R.=10100110 
Ls=10100110 
R:=11100000 
1%=11100000 
R,-:00011100 
14700011100 
R;—10001001 
Ls= 10001001 

R,—11100101 
L,— 11100101 

R,—01001110 
Zu 一 01001110 
R,,—11101000 
Zu 一 11101000 
Ra=01111111 
L,-—0111111 
R,—01101001 
了 Za 一 01101001 
R,,—00110100 
Zu 一 00110100 
1100110 
1100110 
1110110 
Li =11110110 
Rıs= 00000010 
最 后 得 密 文 <; 


00010011 110}1111 


00111111 
00111111 
10000001 
10000001 
11100011 
11100011 
11001110 
11001110 
11111000 
11111000 
01111011 
01111011 
11001011 
11001011 
10000001 
10000001 
00001011 
00001011 
01110011 
01110011 
01111110 
01111110 
11101000 
11101000 
00101011 


10001111 


01101001 
01101001 
10000101 
10000101 
11100101 
11100101 
10011100 
10011100 
01101000 
01101000 
00101100 
00101100 
00111010 
00111010 
01111100 
01111100 
00101010 
00101010 
10001101 
10001101 
00101100 
00101100 
00110110 
00110110 
10001110 


00001010 
00001010 
01111000 
01111000 
10001010 
10001010 
01100001 
02100001 
11110100 
11110100 
01101100 
01101100 
11100000 
11100000 
11101001 
11101001 
10010100 
10010100 
10110011 
10110011 
11000110 
11000110 
00000111 
00000111 
01100111 


00110100 


* 4g. 


10001000 10111001 


10100001 


10100100 


$10 码 间 相 关 性 及 其 它 


(1) 我 们 感 兴趣 的 是 明文 的 每 一 位 和 密 文 输出 的 关系 , 现 
在 假定 明文 m 有 一 位 的 改变 ， 设 S 9 例子 中 的 第 1 位 从 0 改 为 


1, B} m% 


11010100 01010011 01001001 01001110 


01000111 01001000 


01010101 


01000001 


TR EST * 号 的 为 改变 的 位 ， 特 别 要 观察 这 一 位 变化 是 如 何 传播 
的 ， 显 然 Fe 没有 变化 ， 但 R 改变 为 : 


00000001 00000000 00101100 00011010 


ER) 变 为 
00000000 00101000 
00010101 10000000 


ECR) Q b X 
S, 5, 
010000 111011 
V y 
0011 0101 
Ss Se 
000101 пип 
4 4 
0010 1101 


«50 


00000000 
11110100 


Ss 


110000 
V 
iii 
5; 
101100 


y 
0111 


5, 
000110 
y 
0011 
Se 
010000 
$ 
1010 


可 见 通过 S 盒 后 有 4 位 发 生 了 变化 ,第 1 次 迭代 的 结果 是 ， 
1,--0000000] 00000000 00101100 00011010 
R,—01100001 00010001. 00111110 01001000 
16 KEREMKE: _ 
00100001 11100001 00111010 00100010 
10101000 01001000 01000011 10011000 
可 见 明文 改变 1 位 ， 导 致密 文 改 变 30 ft. 
下 面 研 究 若 密 钥 改 变 1 位 ,观察 它 对 密 文 的 影响 ， 假 定 
从 0 改 为 1， 即 8 9 中 的 密 铀 在 改 为 
11000010 01000101 01001001 01001010 
01001001 01001110 01000111 
&,—0100001] 10010100 00010110 00000010 
01111011 11100100 


Е(К,) +k, 8: 
En EH 53 S, 
010000 111001 010000 010110 
v J + $ 
0011 0000 0001 0101 
Ss En 5, S, 
000101 111111 101100 010000 
V V V V 
0010 1101 0111 1010 


第 一 次 迭代 的 结果 是 : 

14,--0000u000 00000000 00101100 00011010 

К, ==0110000] E 0jo10001 01101111 01011100 

` 51+ 


最 后 的 密 文 是 : 
00000011 00000111 11101010 00010010 
10111110 01111100 00100011 01100000 
(2) DES ЕК 56 比特 , 故 有 25827. 2x 104 np 
EEH. 若 对 DES 采取 穷 举 搜索 攻击 , 以 每 秒 搜索 100 万 个 密 
钥 计 ， 则 需要 7. 2X10" 秒 ,等 于 2X10 Ві, 8.33х10 Ж, 
2282 年 . 
DES 的 唯一 解码 量 不 难 计算 , 由 于 密 钥 长 度 为 56 比特 , 所 
Б HG) =56,п {ЕҢ Ж НЕИН 2°'”. 若 报 文 由 个 文 
字 组 成 ,ASCII 码 中 一 个 文字 用 8 比特 来 表达 , 故 字符 数 为 = 的 
报 文 数目 为 2". 
Hc) = 8n, ПОМ) — 4. 19n 
HQ) = 56 = (8 — 4.19)n 
n = 56/3. 81 = 14.7( 字 符 ) 
从 理论 上 分 析 只 要 有 15 个 密 文字 符 就 足以 解 出 密 钢 ，15 
个 字符 120 个 比特 , 大 致 两 个 密 文 块 , 但 唯一 解码 量 没有 说 明 ， 
要 做 到 这 -点 需要 花 多 少时 间 ， 计 算 上 是 否 可 能 ? 
RERUM Р 1977 年 提出 一 种 对 DES 进行 攻击 的 设 
E, 基本 上 是 利用 穷 举 搜索 的 办 法 . 为 此 必需 造 一 专用 的 设备 ， 
利用 当时 的 高 技术 估计 1 微 秒 能 搜索 LER. 29567. 2X 
10, 而 每 天 共有 24X3600=86400 秒 二 8. 64X 10 (gb. HE 
在 一 天 内 完成 对 所 有 的 密 铀 搜索 , 大 致 需 105 个 芯片 并 行 工作 ， 
耗资 约 2 千 万 美元 ， 这 当然 是 当时 的 估计 . 
总 的 说 来 DES 的 56 位 密 钥 是 不 够 长 的 ， 不 足以 抗击 对 它 
进行 的 强行 攻击 . 
D HFEA. 
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许多 密码 都 有 坏 密 钥 ，DES 也 不 例外 ， 一 是 弱 密 钥 ， 即 
DES, (т) = DESs:(m) .例如 下 面 4 个 密 钥 便 是 弱 密 钥 : 
o 91 01 01 01 01 01 01 
IF IF IF IF IF 3 IF 1F 
EO Eo ЕЮ E0 Е Е Е Eo 
FE FE FE FE FE FE FE FE 
其 中 :01:00000001， 1F;00011111 

E0:11100001, FE,11111110 

理由 是 : PC—1 ERC, Do 或 为 00…0， 或 为 11…1， 结 
F — e — =ke. Ж DES, (m) = DES; (0) . 4k ESEG, 
则 有 : 


DES, (DES,(m)) = m 
半 弱 密 钥 措 的 是 存在 和 如， 使 得 : 
DES, (m) = DES, (m) 
即 DES, (DES, (т)) = m 
ELE АГИ ЗЕН. С, 为 1010…10， 而 D, 或 为 00…0， 
或 为 111…11, 或 为 0101…01, 或 为 1010…10 的 密 钥 , 分别 和 
С, 29 0101---01, B. D, X 00-00, eX 11111, RH 0101- 
01， 或 为 1010-…10 的 密 钥 对 候 ， 这 样 的 半 弱 密 铀 对 有 如 下 12 
个 : 
| 00 FE 01 FE 01 FE 01 FE 
FE 01 FE 01 FE 0 FE O 
{ IF EO IF E ОЕ Fl OE Fl 
E0 IF EO IF Fl ОЕ Fl OE 
| о EO 0] EO 01 Fl 0 Fl 
Eo 01 EO 01 Fi 0 Fl ol 


5 


FE 


FE 
1F 
1Е 
01 

ЕЕ 
五 0 


1F 
FE 
01 
1F 
EO 
FE 


FE 
1F 
IF 
01 

FE 
EO 


ОЕ 
FE 
01 
oF 
F1 
FE 


FE 
0E 
oF 
01 

ЕЕ 
F1 


0Е 
ЕЕ 
01 

0Е 
Fl 
FE 


FE 
oF 
ОЕ 
01 
ЕЕ 
Fi 


1 : 00000001 FE:11111110 1F : 00011111 


ЕО : 11100000 F1 


211110001 ОЕ : 00001110 


第 二 章 ”近代 密码 学 研究 、 


$1 问题 的 提出 


由 于 计算 机 网 络 被 广泛 地 应 用 ， 通 信 双 方 使 用 的 密 钥 是 私 
下 约定 的 ， 故 一 个 有 = 个 用 户 的 网 络 ， 两 两 间 的 秘密 通信 共 需 


二 n(n — D FEY], n=1000 B, N Eal — 1) = 499500, 约 
2 2 


需要 近 50 万 个 密 钥 . 若 考虑 到 必要 的 密 钥 更 换 , 这 将 是 不 胜 其 
繁 的 ， 更 麻烦 的 还 在 于 每 一 用 户 要 和 其 他 999 个 用 户 通 信 ， 为 
了 记 住 这 么 多 的 密 钥 ， 只 好 把 密 钥 记 在 本 子 上 或 其 它 什么 载体 
+L, 这 事情 本 身 就 带 来 了 极 大 的 不 安全 .为 此 ，1976 FREM 
赫 尔 遇 在 著名 的 “密码 学 的 新 方向 ”一 文中 提出 “ 公 钥 密码 体 
系 ” 的 设想 ， 在 这 以 前 通信 双方 用 的 加 密 密 钥 和 解密 密 钥 都 是 
相间 的 ， 所 以 ， 也 叫做 对 称 密码 体制 ， 狄 菲 和 替 尔 曼 设想 假定 
RIP AMEY k = [kla),k(a)], 其 中 (a) 为 加 密 密 钥 ,XC2) 
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ERE Di HC) 和 (a) 是 不 - 样 的 . 此 外 将 如 密 密 铀 
k(a) 公开 不 至 于 危及 解密 密 钥 4&(z) 的 安全 ,这 样 可 将 各 用 户 的 
MERE FH SF ЖЕ ЖӨЕ X Н Р ДУН. 

EAP B 欲 向 4 送 去 明文 m, 则 可 查阅 公开 密码 文件 得 
kla) AIH kla) 加 密 得 密 文 

` c= Een) 
将 < 送 给 4，4 收 到 < 后 利用 只 有 他 掌握 的 解密 密 钥 x (а) ЖК 
Я m. Hp. 

т = Dia) (e) 

公 钥 密码 通信 双方 用 的 加 密 密 钥 不 同 于 解密 密 钥 ， 所 以 叫 

做 非 对 称 密码 . 


$2 RSA 公 钥 密码 系统 


在 狭 非 和 赫 尔 曼 提 出 公 铀 的 设想 后 两 年 ， 先 后 由 默 科 
(CMerkle? 和 赫 尔 曼 提出 了 以 后 称 之 为 MH- 背 包公 钥 密 码 , 和 
列 维 斯 特 (Rivest), 沙 米尔 (Shamir 和 艾 德 昌 (Adleman? 联 合 
提出 的 简称 为 RSA 公 钥 密 码 系统 . 背包 公 铀 密码 将 在 $ 4 中介 
绍 . 现在 先 讨论 RSA ДЯ. RSA 虽 稍 后 于 МНА 
系统 ,但 它 到 目前 为 止 仍 不 失 为 有 希望 的 一 种 . RSA 的 基础 是 
数论 的 欧 拉 定理, 它 的 安全 性 依赖 于 分 解 大 数 的 困难 ， 

D 欧 拉 定 理 . 

定理 2.2.1 Жанни, MI 

а" = 1(mod m) 
其 中 рот) ЖШ m 小 但 与 m ҤЖИПЕЯЖ Ж. 
Ш. Hen) = k. Хт, ro o n dE m ФУ mE 
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素 的 数 ， 且 由 于 a 是 与 m 互 素 的 整数 ， 则 ar,， ат, 
和 zm 互 素 且 两 两 不 相同 Ж 
ar, = ar,(mod т) 
则 根据 数论 定理 ， 因 a 和 mm 互 素 ， 所 以 存在 #5 满足 
` aa = 1(mod m) 
дат, = aar,(mod m) 
Bp r, = r,(mod m) 
与 假定 矛盾 ， 所 以 
romOd m) 
{Н лутт, Ж т EX, X 
at = 1(mod т) 
(2) RSA ЯФ. 
1， 取 两 个 京 数 p 和 9( 保 密 》， 
2. FF n=pg (AI 900 = (p — DG 1 


э ать ti 


) (RD. 


3 随机 选取 整数 。， 满 足 gode qo) = 1 (AFD. 


4. Ha, 满足 de = 1(mod a) CR SO. 


利用 RSA 加 密 第 一 步 需 将 明文 数字 化 ， 并 取 长 度 小 于 logan 位 


的 数字 作 明 文 块 . 
加 密 算法 c= EGR) = m' (mad n) 
解密 算法 Dl) = c (mod n) 
下 面 证 明 解 密 过 程 是 正确 的 . 
证 ， 对 于 任何 上 及 任何 普 Са), TUR 
m+ = m(mod n) 
著 (m,n) 一 1 ， 则 由 欧 拉 定理 可 知 ， 


m* == ] (mod n) 


Ж (т, n) >1, HF a= pq, Ж (m, n) BR p. q 之 一 . 


设 (т, я) =p, теср, 1Sc<g, НУ, 
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m”? = 1Gnod q) 


因此 对 任何 x， 总 有 


m? = 1(mod q) 


mia = (1)? = 1(mod q) 
即 mi = 1 (mod q) - 
或 1 = m + hq í 


其 中 关 是 某 个 整数 .由 假定 теср, 
Л т = mit! + Һера 
这 就 证 明了 
m = ті (mod п) 
举例 如 下 : 
#рРр=43, q-59, п = ра = 43 X 59 = 2537 
p(n) = 42 X 58 = 2436, Же = 13 
解 方程 de= 1Gmod 2436) 
2436 = 13 X 187 +5, 13=2х5+3 
5= 342, 3-241 
дої=з—2, 2=5—3, 3—13—2X8 
5 = 2436 — 13 X 187 
ЛО 198—253 (5—8) =2х 3-5 
= 2013-2 х 5) - 5 
= 2 X 13 — 5 X 5 = 2 X 13 — 502436 — 13 X 187) 
= 937 X 13 — 5 X 2436 
ш 937 X 13 = 1(mod 2436) 
Re=13 f, 4=937 
车 有 明文 : public key encryptions. 
先 将 明文 分 块 为 : 
pu bl ic ke ye пс гу pt io ns 
。58。 


1 


将 明文 数字 化 得 ; 

1520 0111 0802 1004 2404 

1302 1724 1519 0814 1418 
利用 加 密 得 密 文 ， 

0095 1648 1410 1299 1365 

1379 2333 2132 1751 1289 

(3) Жара 被 因子 分 解 , 则 RSA ЕН. HY, ШЖ 
P. q 已 知 , W| goo = (р 一 DG DETA. AEEA a 
RT e RE: 

de = 1(mod ф(л)) 
故 d 便 不 难 求 得 . 因此 RSA ВВТ ТУННИН. 
目前 因子 分 解 速度 最 锯 的 方法 ， 其 时 间 复 杂 狂 为 

exp (sqrt (In (з )а1а(л))) 

DERE pak LE EE DUN Р ЖП q 为 100 位 10 进 制 
W, ЗЕ n 为 200 位 10 进 制 数 。 要 分 解 200 位 的 10 进 制 数控 
每 秒 107 次 运算 的 超 高 速 电子 计算 机 , 也 要 10° 年 . 近来 对 大 数 
分 解 算法 的 研究 引起 了 重视 . 1990 年 的 最 新 结果 有 150 位 的 特 
殊 类 型 的 数 (第 9 个 费 尔 玛 (Fermat) St) E RRNA- 

Ж п 被 分 解 成 功 , 则 RSA 便 被 攻破 . 但 还 不 能 证 明 对 RSA 
攻击 的 难度 和 分 解 上 相当 , 故 对 RSA 的 攻击 的 困难 程度 不 比 大 
数 分 解 更 大 . 当然 , 若 从 求 KD AFI RSA 进行 攻击 , 它 的 难 
EMAA n 相当 . 已 知 n, READ, W pM 可 以 求 得 . H 
为 

n p(n) +1=рР+@ 
Te 
为 了 安全 过 见 ， 对 p 和 9 还 要 求 ; 

(a) p f q 的 长 度 相差 不 大 。 
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b) 2-1 和 9 一 1 ЖКЖ Т. 
(с) (p 一 1，9 一 1) 很 小 . 
满足 这 些 条 件 的 素数 称 做 安全 素数 . 
《4) 下 面 给 出 一 个 值得 引起 注意 的 例子 . 
4 т, = КА (ть) = mi, (modi) 
р=17, 4=11, п= ра 1711187, e=7, m=123 
可 以 证 明 z 经 过 RSA 继续 变换 可 得 т, т, ВП, 连续 4 次 
进行 RSA 变换 恢复 到 原文 
m, = 123, 123’ = 183(mod 187) 
т, = 183, 183 = 72(mod 187) 
ту = 72, 72 = 30(mod 187) 
т, = 30, 30 = 123(mod 187) 
(5) RSA 加 、 解 密 变换 都 要 进行 mod n 的 等 运算 . 
Ж = (mod р) 可 通过 对 指数 = 的 2 进 制 数 化 来 实现 ， 例 如 
求 11(mod 17), 7= (111),, BR 
т=? +2 = 2 +2 +1 
故 
117 (mod 17) = (112” + 11* + 11(mod 17) 
下 面 给 出 一 种 比较 实用 的 方法 ， 在 给 出 方法 之 前 ， 先 通过 
实例 观察 等 运 算 的 计算 步 又 . 
Б = 1520? (mod 2537) 一 (1520)2xs+i(mod 2537) 
= (1520)°1520(mod 2537) 
但 (1520) == 1730(mod 2537) 
P = (1730)°1520(mod 2537) 
= (1730°)*1520(той 2537) 
{E 1730° = 1777 (mod 2537) 
р = (1777)? + 1520(mod 2537) 
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一 1777: + (1777 + 1520) (mod 2537) 
但 ”1777*(mod 2537) = 1701 
1777 ° 1520(mod 2537) = 1672 
se р = 1701 * 1672(mod 2537) = 95 
现在 模拟 这 个 过 程 给 出 计算 2" (mod р) 流程 如 下 ; 


d c 
а—— х 一 
b—r 5-0? ó(mod2) = 0? aq, a! (modp 
с —1 Е 


be b-i 
се aci тойр) 
02.2.1 
例 R (06) God 4731) 
OD 216, 6-15, c1 
(2) 64—14, с+-16 
(3) 64-7, (16)^ (mod 4731) = 256, a--256 
(4) 64-6, 256X16 (mod 4731) = 4096,c«-4096 
(5) b3, (256)* (mod 4731) = 4033,  a«-4033 
(8) b«-2, 4033 Х 4096 (mod 4731) = 3247, с+-3247 
(7) b+-1, 4033° (mod 4731) = 4642, — a«-4642 
(8) 6-0, 4642X 3247 (mod 4731) = 4339, с+-4339 
(9) b=0 А. l6'(mod 4731) = 4339 


$3 WE Rabin) 密码 系统 


前 一 节 已 讨论 了 若 分 解 "， 则 RSA 便 被 攻破 , 即 RSA FIRE ° 
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译 的 难度 不 超过 大 数 分 解 . 勒 宾 提 出 对 RSA 的 一 种 修正 ， 可 以 
证 明 对 它 的 破译 等 价 于 对 n HFH. RSA 是 选择 加 密 密 锅 e 满 
R 1< e < Фп) Bege) = 1. 勒 宾 是 取 e 一 2， 即 加 密 算法 
是 . 
c = m' (mod n) 
由 于 = рд, RK 
с == m'(mod р), c= m (mod q) 
Ф QR, 表示 模 ”* 的 平方 剩余 集合 ， 即 
QR, A (a|3 x € 7,х*==а(тойл)} 
2 ЖЖЖ ES. EFE z€ Z 满足 
z’ == a(mod n) 
则 称 o 属于 QR. 或 写成 aE QR,, Жа ЖИЙ n 的 平方 剩余 ， 否 
则 a&QR,， 或 称 a 为 非 平 方 剩余 . 
引 理 2.3.1 车 p 为 奇 素数 ，pta， 则 
a" = a(mod р) 
或 无 解 或 有 两 个 模 p 不 同 余 的 解 . 
证 : # =a (mod p) BR x, (On <p), 不 难 验证 一 xz 
也 满足 这 个 同 余 方程 ， 而 且 z 和 一 zi PER p BER, WER 
Ж, ma (mod р)Ш 
2x, = 0(mod p) 
RR (np). Н ра НЕНТ. 
下 面 证 上 只 有 这 两 个 ， 别 无 其 它 解 . # 
z; a(mod p) 
MI at = zi(mod p) 
тї — тї} == (x, 一 za)(z + ar) = 0(mod p) 
Paa) 或 plz + z) 
这 就 证 明了 
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зу = x,Q(mod p) 或 z7, =— z,(mod p) 

定理 2.3.1 若 户 是 奇 素数 ， 则 整数 1，2，…，# 一 1 PE 
好 有 (G—D /2 个 属于 QR,, 其 余 (p 一 1) /2 个 属于 非 平 方 剩 
f. 

证 ; 计算 1，2，…， p 一 1 ЖЛ p ВЕ. 因为 
RH p —1 ЕЗ, B 2° = a (mod р) 的 解 的 数目 或 为 零 
或 有 不 同 余 的 两 个 , 故 正好 有 (p 一 1) /2 R p 的 平方 剩余 . Вр 
存在 (p 一 1) /2 个 na， 满足 1«axp—1, 使 得 aEQR,， Ж 
H -D /2 个 为 非 平方 剩余 . 

例 p=5, 1'==1 (mod 5), 2?=4 (mod 5), 3/224 (mod 
5), 41 (mod 5)， 所 以 1 和 4 属于 QR:，2 和 3 则 属于 非 平 
方 剩余 . 

定理 2.3.2 〈 中 国 剩余 定理 ) т, ma, =, m 是 两 
ЕЖЕ, MERIAH 

z=b(modm) i-i, 
Hm * ma * +° * ть 有 了 唯一 解 . 
证 :证 明 是 构造 性 的 , 即 证 明 的 过 程 也 是 给 出 解 的 过 程 . 令 ; 


М=туту ет 


М,= Мт = тутат imamo i=], 2, +, Ë 
求 y, 使 之 满足 ， 

Муу = 1(mod ту), j= 1,2," 
HT M, 和 m; 互 素 ， 所 以 у, 是 存在 的 ， 可 以 证 明 

z—bMiy b My My 
满足 同 余 方程 组 

х а= b (mod m), i-—]1,2,-,& 
证 明 过 程 请 注意 ， 只 要 jAh, Mm; 除 尽 M, RB 

M, = 0(mod т,) 
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Й <= b,M,y,(mod ть) 
但 My = 1(mod m) ` 
所 以 得 证 
ж = b,(mod m), А = 1,2,5, 
以 下 证 明 解 是 唯一 的 ， 如若 不 然 ， 有 z 和 z 都 满足 : 
z= b,(modm,), j-1,2, 
HB 1<=<M, 1<==<M, WU 
z,— z, = 0(mod m), j= 1.2, 
这 就 证 明了 : ту | — z), jo bie 
即 Мі — x) 
ху = z,(mod M) 
至 此 命题 获 证 . 
有 了 中 国 剩余 定理 可 知 以 下 重要 事实 : 
已 知 : 
c = m (mod n) 
ms. BER 
x^ = с(той p), л? = c(mod q) 
每 一 个 都 将 有 了 两 个 解 ， 即 : 
х = m(mod p), х = — m(mod p) 
д = m(modqg), ¥ = — m(mod q) 
根据 中 国 剩余 定理 : 
z* = c(mod п) 
ЖАИ E, RE BE EBE E E XR A E —. 
勒 宾 密 码 还 有 一 个 重要 的 结论 ， 即 对 它 的 攻击 的 困难 程度 
等 价 于 分 解 . 
EH 2.3.3 求解 方程 
два (mod n) (2.3.1) 
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与 分 解 ”是 等 价 的 ， 
证 ， 如果 能 从 n FREH pAg MAKE: 
7 = amed p) (2.3.2) 
х* == a(mod q) 
E p = q = 3( mod 4) 时 , 后 者 已 有 有 效 算法 . 反之 , EDR 
#21. trs лал. (mod n)， 由 于 
zi = тї(той n) 
(z; + zx) (zi — 23) = 0(mod n) 
注意 到 p 和 g 不 能 同时 整除 Goo 和 Gezi), WC FH 
种 可 能 有 且 仅 有 一 种 可 能 发 生 ， 即 ， 
ба) pl (r, 十 z), glir л) 
(b) pl (a — z, |ба + x) 
总 之 , Ron ata, GR z — z) 的 最 大 公 因 子 便 是 Р 
CER q). 


$4 数字 签名 


传统 的 对 称 密 码 有 一 弱点 ， 由 于 加 密 密 钥 和 解密 密 钥 是 一 
样 的 ， 所 以 ， 当 4 GE BIEX с = E,(m) ，B 有 能 力 对 密 文 
《实际 上 也 就 是 对 明文 ) 进行 算 改 , MR A 和 如 之 间 对 “4 BEE 
H BZR т” REFAN, 困难 也 随 之 而 生 . 最 好 有 一 种 密码 ， 
不 仅 具 有 保密 的 功能 ,而且 还 具有 以 下 的 功能 , (a) В ЖЖ К 
明文 的 内 容 ，(b) А 不 能 否认 他 问 B 送 过 mRSA 具有 这 种 能 
力 . im AR BIEX c: 

€ = Es(Dalm)) 
即 4 先 用 他 自己 掌握 的 解密 密 钥 对 m 作 变换 得 Рт), EE 
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对 Dalm) 用 BB 的 加 秘密 钥 进 行 加 密 , 得 密 文 c= Е„(Э„(т)), 
而 B 的 加密 密 钥 可 以 从 公 钥 文件 中 查 到 . B 收 到 < 后 先 用 他 自 
己 掌 握 的 解密 密 钥 对 密 文 进行 解密 得 : 
Dele) = Da(EsCDalm))) = DíG) 

再 对 Dat) 用 A 的 加 密 密 钥 作 变 换 得 : 

` EGG) = EADa(m)) = m 
从 而 恢复 了 明文 mw. 如 车 А 对 是 否 送 去 m 提出 异议 , 则 8B 可 出 
示 他 收 到 的 密 文 c. HAEL ED m) PRA ATEREA 
GU CERERI, 也 就 是 自己 的 解密 算法 Du. 正 因为 如 此 ,8B 也 
不 可 能 算 改 明文 的 内 容 。 它 类 类 似 于 传统 的 送 去 的 信件 签 上 名 
一 样 ， 故 称 : 这 样 的 功能 为 数字 签名 - 并 不 是 任何 密码 系统 部 具 
有 这 样 的 能 力 ， 


$5 背包 问题 和 NP 理论 


(1) PARIET. 

当 狄 菲 和 赫 尔 曼 提出 公 铀 密码 系统 的 设想 时 ， 还 没有 一 个 
这 样 的 实例 ， 两 年 后 首先 由 默 科 和 赫 尔 曼 提 出 一 基于 组 合 数学 
ВЕНЕ ЖЯ. 这 个 背包 系统 用 MH- 背 包 密码 系 

所 谓 背包 问题 是 这 样 的 :已 知 一 长 度 为 5 的 背包 ,及 长 度 分 
BUS a, аг, =" а, 的 个 物品 ， 假 定 这 些 物品 的 半径 和 背包 
相间 ， 要 求 从 这 个 物品 中 选 出 若干 个 正好 装 满 这 普 包 ， 这 问 
题 导致 求 z,=0 或 1, i=l, 2, +з, n, ERE 


+ 66° 


其 中 a а» +", a, 和 总 都 是 正 整数 ， 
背包 问题 是 著名 的 难题 ， 至 今 还 没有 好 的 求解 方法 ， 若 对 
2" 种 所 有 可 能 人 性 进行 穷 举 搜索 ,实际 上 是 不 可 能 的 ， 以 n= 100 
为 例 : 
21" = 1.27 x 10% 
以 每 秒 搜索 10 种 方案 的 超 高 速 电子 计算 机 进行 穷 举 ， 一 年 只 
能 完成 3. 1536X104 次 ， 所 以 共 要 
1.27 X 10*/(3.1538 X 109) = 4.02 X 10'*(4E). 
算法 复杂 性 理论 已 经 证 明 : 背包 问题 是 属于 NP 完全 类 ,也 就 是 
说 它 是 NP 类 问题 中 难度 最 大 的 一 类 . 这 -类 问题 还 没有 有 效 
的 算法 ， 对 2 种 可 能 穷 举 搜索 不 是 好 算法 , 因为 它 不 可 能 在 实 
际 人 允许 时 间 内 完成 . 
必须 措 出 的 是 并 非 所 有 的 背包 问题 都 没有 有 效 算法 、 如 若 
IFI ais as се, a 满足 条 件 : 
а > S. G—2,3,,) 
时 ， 有 多 项 式 解 法 这样 的 序列 称 之 为 超 递增 序列 ， 例 如 : 
1,2,4,8,,2 
就 是 超 递 增 的 序列 . 
212224423 +8 十 16zs 十 32xs 一 43 
ME 43232, BE xs 二 1， 以 之 代入 得 ; 
aid Bas as Ra 16a 11 
11<16， 只 能 有 n0 
zite Зач 8,11 


Xa, 
是 问题 的 解 . 
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(2) МР 类 和 NP 完全 类 . 

在 介绍 NP 类 问题 时 先 解 涪 什么 叫 P 类 问题 . i G= (V, 
E) 是 已 知 有 个 顶点 的 图 ， BE IV | =л, А = (aa 是 图 G 的 
邻接 矩阵 


а 


П. Go) € E 
"C do жш 
Hm G 为 图 2. 5. 1. 


2. 51 ` 
其 中 V= (ш, wo тз, od, E= {eis ea, езу б, е, б}, W 


邻接 矩阵 为 : 


w fQ 1 1 1 
ex 

v; 1 10 1 

u1 110 

0111 9 1 11 3 2 2 2 
д2 110111011 2322 

1 1 O 1| |1 1 0 1 2232 

1110 0110 2228 


ВЕД, aP RRA о, 出 发 , 通过 中 间 菜 一 vw 点 到 v, 的 路 径 数 目 ， 
BDE: 
шэш —; 
的 路 径 数 . 求 4? EE n 次 乘法 运算 ,或许 说 算法 的 时 间 复杂 性 
JE O(n) . 
车 其 时 间 复 杂 性 是 问题 规模 的 多 项 式 ， 这 样 的 问题 条 为 
属于 多 项 式 类 ， 或 说 属于 P 类 ， 所 以 ，P 类 问题 有 有 效 算法 . 
但 是 ， 背 包 问 题 直 到 目前 还 没有 找到 多 项 式 的 算法 . ЖЖ 
取 穷 举 的 强行 搜索 方法 ， 其 复杂 性 为 0(2") ， 是 典型 的 指数 型 
问题 . 求 背包 问题 的 解 有 困难 , 若 给 定 一 组 0—1 FF Cis za 
…，z)， 问 它 是 否 为 背包 问题 ， 
az + ал, 十 … + aa, = b 
的 解 ， 验 证 可 在 次 加 法 和 次 乘法 内 完成 . 
问题 的 解 可 在 规模 n 的 多 项 式 时 间 内 验证 完毕 的 问题 ， 称 
为 属于 NP Ж. 
显然 ，P 类 问题 属于 NP ж, BB; 
PCNP 
但 是 否 NP 一 P? 这 问题 尚未 解决 . 像 背 包 问 题 属于 NP, 但 不 能 
判定 它 是 否 属于 PP 一样. 
(3) NP 完全 类 及 库 克 (Cook) 定 理 . 
库 克 提出 一 著名 的 “可 满足 性 问题 ”, 并 证 明了 任何 NP fa] 
题 都 可 以 在 多 项 式 时 间 内 转化 为 求解 可 满足 性 问题 ， 这 就 证 表 
了 可 满足 性 问题 是 NP 类 中 难度 最 大 的 一 类 了 问题， 从 而 莫 定 了 
算法 复杂 性 理论 的 基础 . 
З РЕ ОВЕ, ВОК, (T VZD 
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À (Fı V zı V z) A Ga, V zs V z.) А (z, V z) Bann. 
z, 为 逻辑 变量 , 它 只 取 了 或 两 个 值 . 

ж, SUI BE mons zs n B dE". jn V mum V 
x, omn, Vox, V xo V 五 称 为 该 逻辑 表达 式 的 子 句 . 子 句 
的 特点 是 由 有 逻辑 变量 作 逻 辑 和 构成 的 ,而 且 每 一 子 句 中 不 同时 
НЯ s REB HEU. 

车 一 逻辑 表达 式 可 表 为 若干 子 旬 essc, WEHR. 
Lp 

= с AcA Ac 
而 每 一 个 子 句 均 为 逻辑 变量 (包括 它 的 非 ) 的 逐 辑 和 , 则 称 了 的 
这 种 形式 为 合 取 范式 ， 

可 满足 性 问题 ; BVS (r. zo sy лу л, Ж, сө, 
Tals Cis єз, o Cu EV WARTE AFAD. 每 个 c; 中 不 
HRV PERR- APE Er Дс), i=l, 2, ===, m. 
所 谓 可 满足 性 问题 即 确定 一 集合 СУ, HE: 

G) S 中 不 包含 互 反 的 一 对 ， 即 CS, x&5; 

Ф) S esp, i=l, 2, m 

从 数理 逻辑 角度 来 看 ，S 中 元 素 若 都 取 了 ， 由 3S 门 c 关 p 得 
Cis Cas s Ca ЖИА Т, EFL 

eAaGA Лет 

可 满足 性 问题 显然 属于 NP Ж. 

下 面 叙述 库 克 定理 . 

定理 2.5,1 若 工 是 属 子 NP 类 的 问题 , 则 上 可 在 多 项 式 
时 间 内 转变 为 与 之 相对 应 的 某 一 可 满足 性 问题 . 

定理 的 证 明 甚 繁 ， 可 见于 算法 复杂 性 理论 的 专著 ， 这 里 从 
Ж. 但 定理 说 明了 一 个 十 分 深刻 的 事实 ,可 满足 性 问题 是 NP 类 
中 难度 最 大 的 . 以 它 作为 标准 , 称 它 属于 NP 完全 类 ,或 用 NPC 
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表 之 . 只 要 可 满足 性 问题 有 多 项 式 解法 , 则 整个 NP 类 都 有 多 项 
式 解法 . 

NP 完全 类 实际 上 是 NP 类 中 难度 最 大 的 ， 

车 有 一 问题 p, 属于 NP, 而 且 , 另 有 一 个 属于 NP 完全 的 问 
E po E ps 可 在 多 项 式 时 间 内 转化 为 求解 p WA 也 属于 
NPC. 

现在 已 经 证 明 有 数目 十 分 可 观 的 一 类 组 合 数学 问题 属于 
АРС, 它们 中 只 要 有 一 个 问题 有 多 项 式 解 法 , 则 NP 类 全 体 都 有 
多 项 式 算法 , 即 NP 二 P. 也 就 是 说 整个 NPC 类 问题 难度 相当 . 
但 没 找到 这 样 的 算法 ,有 很 大 可 能 NP 根本 不 等 于 P, 但 逻辑 上 
还 没有 得 到 证 明 ， 所 以 、 在 数学 或 计算 机 科学 中 “NP 二 P?” 仍 
是 十 分 引人入胜 的 重大 理论 问题 .这 就 是 算法 复杂 性 理论 要 解 
决 的 问题 . . 

算法 复杂 性 理论 已 成 为 近代 密码 学 的 理论 基础 ， 如 若 破译 
一 密码 系统 , 等 价 于 解 一 个 NPC 问题 , 那么 这 个 密码 系统 的 安 
全 便 有 了 保障 . 


$6 MH 背包 公 钥 密码 系统 


背包 公 包 密码 系统 是 选取 一 组 下 整数 aa, a 作为 公 
钥 予 以 公布 , m 一 mm2a…m 是 位 0, 1 明文 符 导 囊 . 利用 公 钥 
加 密 如 下 : 

© = am, 十 aym, 十 … + aum, 
MEX c RAX m, ma, son. 等 价 于 解 背包 问题 , AMER: 
а;=28,  a,—32. аз=11, a=08 . 
as 一 71， a=5l,  a743, а,=67 
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HX: 
mı=10110110, m= 11001001 
分 别 加 密 得 密 文 : 
а = 28-- 101 + 8 + 51 + 43 = 141 
с, = 28 + 32 + 71 + 67 = 198 
但 是 , MH 背包 公 钥 系统 选 的 背包 序列 ai, az, °", a, 是 由 
超 递增 序列 进行 以 下 变换 得 到 的 . 
BK brs bes ets b, BEB EY, E: 


га 
b> У, i= 2,3, 


= 


AEn 26. w 和 m ER, t WE ww=l (mod m). fE 
变换 我 们 称 之 为 默 科 一 赫 尔 曼 变 换 ) ; 
ау = wb, (mod m), А = L2, (2.6.1) 
于 是 从 超 递增 序列 , b, ber е, ba 得 序列 : а, a s Qa， 一 
般 说 来 {a;} 表面 上 再 不 具有 超 递增 的 特性 , MH 背包 公 钥 密码 
系统 便 是 以 这 样 的 序列 {a,} 作 为 公 钥 的 . 
REBA: 
ami tamt- Hanm, =c 
с H mmm, тт, 的 密 文 其 中 mi, ma =, m 是 位 的 0， 
1858, MJ: 
Wc = waym, + wa,m, 十 … + toa,m, 
= bm, + т, 十 … бот, (той т) (2, 6. 2) 
这 是 超 递增 的 背包 问题 . 
Bj 1, 3, 7, 13, 26, 65, 119, 267 是 超 递增 序列 . 
1 十 3 十 ?十 13 十 26 十 65 十 119 十 267 一 501 
Ж m=523, w=467, x6=28, 
a, = 467 X 1 = 467(mod 523) 
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a, == 467 X 3 = 355(mod 523) 
аз = 467 X 7 = 131(mod 523) 
a, = 467 X 13 = 318(mod 523) 
as = 467 X 26 = 113(mod 523) 
a, == 467 X 65 == 21(mod 523) 
a; = 467 X 119 = 135(mod 523) 
a = 467 X 267 = 215(mod 523) 
(467, 355, 131, 318, 113, 21, 135, 215) 作为 公 负 于 
МАЯ. ХР т 10101100 加 密 得 密 文 : 
467 十 131 十 113 十 21 一 732 
接收 方 收 到 密 文 732 5, ЖИ 9—28 (mod 523)， 得 
732X28—20496—99 (mod 523) 
解 超 递增 序列 背包 问题 ， 
т, 3mz t+ Tm; -13т, + 26m; + 65m, +119m; +267m,=99 
^om m —m ml 
m=m = my m0 
EPEA 10101100 
ЖЕНЕКЕ АЧ В ДОН, PUR. BEREBERE KE 
50 美元 . 他 们 利用 默 科 一 赫 尔 曼 变 换 虽 将 超 递增 序列 的 特性 隐 
项 起 来 ， 但 得 到 的 序列 毕竟 不 是 “正宗 ”的 ， 终 究 圳 出 了 “ 尾 
E”. HER RDXR (Shami {ЕЕ ЕЖЕ. REL E 
又 企图 通过 多 次 的 默 科 一 赫 尔 曼 变换 试图 将 它 变 得 彻底 些 ， 再 
次 大 赏 给 可 译 者 ， 再 过 两 年 ， 新 的 破译 方法 解决 了 低 密 度 的 背 
包公 铀 密码 问题 (这 将 在 $ 10 中 给 予 介 绍 ) ,使 MH PLA LS 
码 系统 遭受 到 致命 的 打击 . 
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$7 MH 背包 公 钥 的 简单 变形 


前 而 讲 到 的 背包 公 钥 密码 系统 可 将 它 推广 到 GF Cp") W. 
it 
Ыбх) = bjo + buz + baz + + buat 
bela) = ba + Бых + Быз bom t bat (TD 


BT) = b, + был + baz don + baat 
使 得 矩阵 
bo bn бы с" ^) 
bx bn бы c b 
B= s ba бы c by) = ФЬ) (2.7.2) 


De ba бы c bu 

的 每 一 列 构成 一 超 递 增 序 列 . BD b .— Gus bar b.) 是 一 超 递增 
RAM, i0. 1, ms k. 

$ M=max. (bu) 
PaK FM 的 素数 mia) 是 Gi (p) 域 上 的 有 =-1 次 不 可 化 约 
的 多 项 起 , w) 是 方 次 不 超过 的 多 项 式 , 在 GF(p) 域 上 mod 
таб г) СЕС) 3%. FE СЕС) B E 

а, Gc) = wG5, 2 (nod mG)) (2.7.3) 
j=1,2, n 
Жа Go заз GO а С) 公开 ， 对 于 = 位 0，1 PRERA 
ШЖ РЕШЕ: 
MS 


clr) = ma, Gr) + mai + таш (ж) 十 … + та, (а) 
解密 办 法 是 对 于 密 文 cfz)(mod mo) ЖЫ Go) Cr) 满足 
ter) (z) = j (mod m(z)) 
TT) = màwGoOa; Gr) -+ m;it6(z)a,(z) 
二 (Cast 
= m.b,(z) + mbr) + + + m.b,(z) 
(mod mor)) (2.7.4) 
шизик 项 系数 便 可 求 得 m. mas oom 这 相当 于 
解 - - 超 递 增 序 列 的 背包 问题 . 

也 可 以 考虑 分 组 解决 . 设 nre Kom, ma tom 分 成 
7 组 ,每 组 :个 ,分 别 由 比较 + Fs л, о з ВОВЕ. 
hy dp os i UBER. jX ARE BER hs ieo vi, 
HREM FERRET. 首先 每 - - 列 有 且 仅 有 =* 个 非 零 元 素 ,其 余 
Bp aS TERANE. RK, FE 列 中 第 了 个 元 素 非 零 ， 则 
ТВ ЖН ОР, 即 4 个 菲 零 元 素 覆盖 了 所 有 
n s FERRE is i w~, i IP EFFET RN “ERR 
Ж. ЭХ ЯК, BEHR EH -> 列 的 元 素 实际 上 是 多 余 
的 ， 可 以 任意 选取 ， 只 要 不 超过 规定 的 界 即 可 . 

如 何 选择 素数 请 特 别 是 不 可 化 约 的 & 十 1 KER mar) ， 
可 以 参考 近 册 代数， 这 里 不 北 述 ， 读 者 可 构造 一 个 w 一 20，r 一 
4, 5 一 5 的 例子 . BE LRQ = т®— wer) = z 41,9) 
- 1, 并 利用 它 进 行 旭 密 和 解密 - 

MA. 这 样 的 变形 并 没有 改变 MH 背包 公 钥 的 实质 . 但 第 
бнз oi 列 的 任意 选择 ,以 及 各 列 中 * 个 非 零 超 递增 元 素 的 
HABERE, BARRER Г ЖОМЕ. RHR 
МЕХ, BAHA ERKURT. 
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$8 沙 米尔 (Shamir) 的 攻击 


MH 背包 公 钥 密码 中 的 公 钥 序列 a» ar s a, 是 由 超 递增 
序列 与 ， 锯 ，…， 包 通过 默 科 一 赫 尔 曼 变换 得 到 的 、 即 
a, = wb,(mod т), k=1,2, n 
假定 所 得 的 a:， 它 的 二 进 制 数 表示 的 位 数 是 相同 的 ， 一 般 
假定 为 200 比特 ， 沙 米尔 便 抓 住 它 作 突破 口 将 它 攻破 了 . ТЖ 
他 是 怎样 进行 分 析 的 对 我 们 颇 有 启发 . 
GO 算法 的 非 形式 化 叙述 ， 破 译 的 问题 在 于 寻找 一 对 陷 门 
Ол, u) 使 得 : 
b, = ua (mod m) А = 1,2, 
是 超 递 增 序列 , 若 超 递增 序列 的 每 一 项 大 致 是 前 面 一 项 的 两 倍 ， 
最 后 一 项 比 m/2 小 ， 这 样 有 : 


2 m, b, x2 m. +, b<2 "т 
БЫ b, = ua, (той т) 为 例 ， 作 图 象 (图 2.8.1. 
У = az(modm), Os rm (2.8.1) 
» 
° т 2т тоот 
DEEP 
Hii 


这 些 斜 率 为 a, 的 锯齿 曲线 的 极 小 点 分 别 为 m/a1,2m/a1,…, 间 
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RA m/o. 由 于 


b < 2m (2.8.2) 
所 以 ,z 必须 在 区 闻 ， 
тп be ү 2 "m @.8.3) 
aat m 


Esk —0,1,2,5,a, — 1. 这 可 从 图 2. 8. 2 Aih. 


图 2.3.2 
但 入 都 是 要 求 的 整数 .为 方便 起 见 ,将 m 作为 1 个 单位 , 间 
题 导 至 求 4,m 使 比值 w/m 必须 位 于 下 列 区 间 上 : 


(E ia]. bo 0.1.2, — 1 (2.8.3) 
其 中 四 = 2" /a,,d, 的 几何 意义 见 图 2. 8. 2. 
用 类 似 的 方法 讨论 ; 
b:=ua, (mod m) (2.8. 4) 
作 2 一 az (mod 1) HAR. 由 于 
bit Q.8.5) 
BEAT 必须 位 于 下 列 区 间 上 . 
(ita). R-0liheean-l1 (286) 


PE 


其 中 = 27*!/а,. z 必须 同时 在 区 间 (2. 8. 3) 和 (2. 8.6) 上 ， 


故 必须 在 区 间 (2. 8. 3) 002. 8. 6) 的 交集 上 . HHR 的 所 在 


范围 缩小 了 , ME = 出 现在 (1) 和 (4) 的 极 小 点 十 分 接近 的 地 
方 . 

对 davans yan 用 类 似 的 算法 进行 讨论 ,可 以 得 出 所 求 的 过 
ERR y = azr(mod 1) = 1,2, BUTLER А. 

(b) 在 进一步 讨论 沙 米 尔 的 攻击 方法 的 其 它 细 节 之 前 先 看 
一 个 例子 有 助 子 理解 . 

设 已 知 公 铀 序列 为 {467,355,131,318,113,21,135,215}. 


а, = 467, 故 基 应 落 入 下 列 区 间 上 : 


n а 1 j B 
ie 467 L 875256] ° n=1, 2, +, 466 
其 中 256 = 2*. 
а, = 355, 同 理 * 应 洲 和 下 面 的 区 间 上 ; 
| 1 = 2 
В, = [358358 е zu k= 12,7354 


Ek * 必须 在 U A яп |) в, 的 交集 上 . 通过 计算 得 它们 是 下 
面 4 个 区 间 ， 
(0. 053533190578158, 0.053541555139186) 
(0. 47323943661919718, 0. 473241769271949) (2.8.7) 
(0. 526766595289079, 0. 526774959850107) 
(0. 580299785867238, 0. 580303697183099) 
车 考虑 ax 一 131， 世 还 必须 位 于 以 下 的 区 间 上 ， 
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لرا 
ттт T TK)’‏ =€ 
" 
即 基 必须 位 于 (2. 8. D 的 4 个 区 间 和 UC; 的 交集 上 ,于 是 再‏ 


E 


j= 1,2，…，130 


将 兰 搜索 区 间 缩 至 以 下 的 2 个 : 
(0.053533190578158, 0.053541555139186) 
(0. 526766595289079, 0. 526774959850107) 
进而 考虑 “一 318， 兰 还 必须 落 入 如 下 的 区 间 上 
= [2 + ل‎ 
D = [318318 * 318 < 16] ° 
将 二 的 搜索 区 间 进 一 步 缩小 为 ; 
(0. 0535331905178158, 0. 053541555139186) (2.8.8 
如 何 确定 整数 和 m 使 得 关 落 入 (2. 8. В) 区 间 ? 这 将 在 后 
面 给 出 一 般 的 方法 ， 对 于 本 例 至 少 有 
G) и=53, m=990 
通过 变换 & 二 534; (mod 990), 1=1, 2, 3, =, 8, 得 
超 递 增 序列 : 
1, 5. 13, 24, 49, 123, 225, 505 
Jim, 53X467—24751—1 (mod 990) 
53 х 355=18815==5 (mod 990) 


L= 152,7:,317 


EA 
Gi) zx 一 28，m 一 523 得 ， 
1, 3, 7, 13, 26, 65, 119, 269 
O 必须 取 多 少 个 关于 a, MRE HIRE IR FE 4/m 的 值 ? 
上 例 取 4 个 是 否 有 根据 ? 现 分 析 如 下 . 
假定 需要 /个 关于 .a 的 锯齿 曲线 生 加 以 确定 比值 v/m a 
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的 锯 光 曲线 的 极 小 点 的 横 坐标 为 二 ， 


2 

а’ 
小 点 与 &/ai 最 靠近 的 点 必然 落 在 区 间 
k lk у 


ens a; 锯齿 曲线 的 极 


al 2a'a 2а 
"a 
تڪ‎ 
la; 
82.8.3 


上 ,这 一 点 只 要 观察 图 2. 8. 3 就 不 难 知道 ,假定 关于 а, 的 锯齿 
线 的 极 小 点 位 置 作为 独立 的 随机 变量 均匀 分 布 在 上 面 区 间 
E. 对 于 其 中 /ai AE a 锯齿 曲线 极 小 点 的 聚 点 的 概率 约 为 
dou ET Ча уш, 
l/a, l/a, 
Ў аз, as, 77, а, ОТЕЛ ЭЕ a, 曲线 的 第 p 个 极 
小 点 的 概率 约 为 
2 2 
а 曲线 有 a, RUNE, KRAMER 
at 2 түк d ГЕЯ 
EREDA -PRA {Н ЖШ ИШ ЖЖ НВ, AI 
假定 : 


tl 
goce < 1 


dan Yn + yË <o ` 


ї>®а+1+>4+1 
2n 


在 MH 背包 公 钥 系统 中 4d 一 2, >3, й1=14. 
必须 指出 前 面 假定 a, a n a, 正好 是 超 递 增 序列 如 ,5,， 
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ts b, 顺序 变换 得 来 的 ， 如果 顺 序 更 动 , 还 应 对 CCn,4) 种 可 能 
逐一 搜索 ， 
(d) 综 上 所 述 可 知 ， 确 定 聚 点 导 至 解 下 列 不 等 式 问题 : 


—s <Ë - S <, 1<4<а 1 
ау a; 


Za KÊ- Ee i1«r€a-l 
EF p, gq. r, OPE HISpSa 1, eRe’ 分 别 是 允 
Ve Path Rc A 


这 些 不 等 式 的 求解 可 通过 和 9 的 D^ 算法 在 多 项 式 时 间 内 
实现 . 


$9 LU? ik 


L: 算法 是 指 由 А.К. Lenstra, H. W. Lenstra 和 L. Lovasz 
提出 的 一 种 基 归 约 算法 ， 对 于 背包 公 钥 密码 系统 的 沙 米 尔 攻 击 
以 及 后 面 的 拉 格 尼 阿 斯 一 粤 得 尼 兹 科 (Lagarias 一 OdLyzko) Ж 
di. MEHR (Brickell) 攻击 都 用 到 它 . 

(D) É b, b. on. b.€ R', Lon I IC 的 子 集 : 


LA {Уе е, € z)- Yz, (2.9.1) 


其 中 页 为 实数 集合 ，Z HERRE. BL DH, bis bo ws b, 
为 格 工 的 一 组 基 ，n 是 格 工 的 秩 ， 格 上 的 行列 式 定义 为 ， 
аб) = |det(b, b, ,5.)| (2.9. 2) 
任 给 ”个 线性 无 关 的 向 量 bs. es DER, 可 使 用 下 述 的 格 
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朗 姆 一 斯 密 特 (Gram 一 Schmidt) 正 交 化 过 程 获得 一 组 两 两 正 交 
BEE b, b. b; 
bi =b. (2. 9.3) 


b; =b, — Su: Pm @.9.4) 

HP g4, = (b, Hb; MED aj (2.9.5) 
上 上 式 中 的 “，” 是 通常 定义 的 内 积 . 

WOR bt JE b. EFA] Уза, 的 正 交 补 空间 上 的 投影 . 显 


RE D Rb, = > Ri 以 后 为 了 方便 起 见 , FBV, RH b, b, 


cb, HIRATA SRI. S Rb 的 正 交 补 空间 用 V RZ. 
£e gi 


Ë b; E b. fE V, ERRE. 
HE LAE bs bo =, b. 如 果 同 时 满足 以 下 两 条 件 : 


1, i>) (2. 9. 6) 


la] < 
Ie бг] > ind £91 (зт 
йй, b.c, Б, 为 格 二 的 一 组 归 约 基 , “| |” 表示 通常 的 
K.L LEG K FE. 
HEB: XIE br А ор Rb ER EA SIUE p Rb. TE 
V, ,上 的 投影 
例 :5 = Od = (1,1, — 1),b, = (~ 1,1,1) 
> = OD 
жт Ф. Br Ob + br) = 1/3 


bi eb mb =, D TG 


={@,»-0 
m = Ф BD: Ы) = + 


f 
e = Oir BIOL BD) = | — 


b; = b, — рыф; 一 м 
= (一 11D 一 二 GD 十 去 12, EX 
(= 1,1,0) 
PERM: bo, b b; 还 是 一 组 归 约 基 . 
CO FERE b, bi o b, ER LER 的 一 组 妇 约 基 . Б, 
和 ，…， 有 是 由 格 朗 姆 一 斯 窗 特 正 交 化 过 程 定 义 的 - 
定理 2.9.1 


I 


G) BPK |, туђа (2.9.8) 
Go 40 < [T Ib] « оаа) (2.9.9) 
Gi) b] ерла)" (2.9.10) 


Ш. G) H (9.7) 有: 
|b; + дф |: = BF E penibla) tO T nabi.) 
= (BF Hb) + sani bi ) 
+ a (b: Hb) 
+ aab eba) 
= lb: |? + ghia lbt | 
ziw.g 


НИГЕ 


<1 
2 
. 3 + > Lipe j2 
| 
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对 上 式 进 行 递归 可 得 4 
ic m Lem utm 


$ i-l-j, I-i-j. 


Шорт, 01Xjixn (2.9.11) 
B (2.9.4), 
Ibit = |b; + У |° 
= Jb; |° Ур р 
£ 
a ， 
< b+ DJ у 
1% 
<la P + + DZ |b; | 
4 i=l 


= [1+ er — 2) |e mwr 

Ev |b; |° 

«2b 

=2 |b? Ë Oxjisn) 
《iD Ф) = |е, b; b] 

= |det(b? pbz, ,b,) | 

= |det(b; ,bi + pobr L| 

= |detb; ,b; ,---,B,) | 
= |det(; sb; seebi) | 
НРА, bi, 5, b: 是 两 两 正 交 ， 故 


dL) = [Eie I 


由 于 名 BEV, LORE, БҮ |; [ecl 
2n. 


ааз = [TIsr < IT lel 
2=1 j: 


ju 


H (2.9.8) 得 : 
lb P < mns; |° 


Tar < mo e 


=1 Pa 


= 2 ье 


sD 


一 2 + 41) 


开启 | < 2-a) 


= 
Gi) Æ (2.9.8) HS j—118. 
lb tz 


II 


1 


METANA 


X382.9.2 V z€L, 290, MJ 
Ib P 2р 


pr 


令 # 是 使 = 天 0 的 最 大 下 标 ， 可 证 nmm. 
z= Ms 


ZEL 


bl? = pb [рес |: онога 
кї 


(2. 9. 12) 


z= У) = Sew z EZ € R 


m i 


ка 
= zb; Nis, 
я 


En E 
= (6 + Ув) + 了 
£ 


К 


因为 
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=zb + Ўл + z; B; 

z; com m 

Iz] Z z: |b; |° Z |b; F (2.9.13) 
由 (2.9.8) 得 : 

I 2 Sl SF [а]? 
定理 2.9.3 nap o zt.E 工 是 :个 线性 无 关 的 向 量 ,1 

=<, MUJ; 

Ib, t 27 max{ in 2 1 1 |z уе 

d: < €L 


2 ве Мав j=l сз: 
对 确定 的 六 全; GO RRE z, 0 的 最 大 下 标 . 由 
(2.9.13) 48: 
Ix? zm lbo |° 
将 z, 重新 排列 使 得 : 
KD SID 9 Si) 
ИЯ JSD, = 1.2... 


否则 着 存 在 >i OD. W| ту, ла, = a ЖИЕ DO Rb 中 ， 
这 和 假定 x ,x;，,… ,x 线性 无 关 相 矛盾 . 由 (2. 9. 8) 和 (2. 9. 13) 
得 : 

Ib l2 ba PSZ Ie a ns jS 

O 下 面 介绍 … 种 从 格 上 的 一 组 基 bbb, 开始 ,构造 
一 组 归 约 基 的 算法 ,也 就 是 所 谓 的 FE. 

首先 ,利用 格 朗 姆 一 斯 密 特 (Gram-Schmidt) 正 交 化 方法 
计算 得 天 д SE Sn 1S <i. ВАНИ. 
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FEAT HETE bi ,Б,, Lb. 可 能 改变 ,然而 始终 保持 是 工 的 
一 组 基 , 如 困 某 个 b. 发 生变 化 , 则 相应 地 b2 和 A, 也 政变 ,但 
(2. 9. 4) 和 (2, 9. 5) 依然 成 立 ,每 次 归 约 的 结果 总 要 使 得 一 部 分 
大 满足 下 面 两 个 条 件 : ` 

|+. 1<;<;< (2.9.14) 


Iesu Emi nlt I<i<h @,9.15) 

B km FR БА PERGIT EE = n 十 1, 则 归 约 过 
程 终止 , 便 获 得 一 组 妇 约 的 基 B is sub, 

《> 1 时 ,车 el SRR Sr ES aa REN 
BOR HE badri RRR be Ijk LE — reas, IRAE s 
用 As — r RE ә. RED 4, Ж b EE lal. 
在 归 约 的 过 程 中 ,每 一 步 都 可 能 调 上 两 种 情况 ， 

(D #>2Н b tabi P< ba l 

KE Б, fi bL ERREN b 保持 不 变 . 重新 计算 下， 
bi a сы jn acis AP j > — li DE. EBD 
fb: + pi ibi BER REG br 小 于 原来 的 60s Ê EE 
WEE Ml. BEBO RH 

QD &—1 RIB He bia LC. 


Ede uuo db RED, PURGE r ERB pa 


的 整数 .反复 进行 ,直到 所 有 的 Au 都 满足 条 件 为 止 , 然 后 上 加 1. 
下 面 给 出 全 部 算法 :其 中 吾 = (6* * b6?) 
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b: : =b,; 


=b, * b; /B, 
КА урн Itoi ori: =lton 


ка "br 

В, : =b; ‘Bb? 

k: =2 

(CD dori: —R—1 执行 (x*) 
if a«[i- MES go to Ш, 
for l: =k—2 downto 1 执行 (+); 
if k = n |, 


k: =k + l;goto (D 
OD из =; B: SBH Bi pari —pB 1/B, 
Bı! =В,..В./В; Bea: =B; 


t ‚_[һ 
b | dà 
А D 

小 -| d | for j: =1 to &—2 
Ag hı 
s] (з ^) 0 г) 
Ра 0 1 1 =p; 
if £22 then Ё: —&—1 goto (D 
GO if Гаа [25 then 
r: = BS y 最 近 的 整数 ， 
b: = by — rhs 
A = а re, forj =1tol ~1 


“| 


Poa 


Hui = pur 
(4) 在 $ 8 中 已 将 对 MH 背包 公 钥 系统 的 攻击 归结 为 解 一 
组 线性 不 等 式 ， 
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1р а —1 
а, “ 1<q=<a,—1 
s <£ ey ， 1<<a—1 


可 将 上 述 不 等 式 转化 为 
limga) Se, dx 


Іоанна» 
其 中 o RARR poporo poq 是 整数 ,0 < < 1 ,可 令 ， 

而 一 (1 ,00, 一 am)， 

bi (0,1,-—-,0,—@,), 

һ„=(0,0,+-,1,—в„), 

Bar =(0,0,-.,0,2 m1 DA gn) 

3B IL FR TRH BE bf ,好 in Ба. 由 定理 2.9.1 可 

Ln 


|b; zar) gE) mt 


1 0 0 — а 

0 1 '". 0 — eh 
аа) = ^" i i 

0 0 э. 1 — о, 

0 0 Q eMe 


Lope Aga 
чаа) о =ч gegen 
mgr ge 
由 于 如 € Lk 
b; = J pbi + gs — paq € Z 
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b; = — явл Px дану р, — qeu qa Ime) 
Їр — qe, | Ge, í = 1,2,5, 
ign rhet < e 
lq < 2e 
最 后 有 两 种 可 能 : q 或 尾 正 整数 , 或 是 负 的 . 若是 后 者 , br 
用 一 bY 2. 


510 拉 格 尼 阿 斯 一 粤 得 尼 兹 科 (Lagarias- 
ОаугКо MHEAR Brickell IEEE 


ЖИН А. ВЕНОК ШУ ЖШ 
EAT A MH 算法 ， 企 图 使 超 递增 序列 的 “ 原 
形 ” 唤 项 得 更 深 一 些 , 使 沙 米尔 的 攻击 失败 . 但 过 了 两 年 之 后 ， 
拉 格 尼 阿 斯 一 аена 
虽然 出 发 点 各 异 ， 但 结论 非常 接近 ， 可 谓 殊 途 同 归 . 

首先 定义 背包 序列 (as as сэ. a) 的 背包 密度 ; 

D = zlog:(maxw) 

这 里 4 实际 是 明文 m — mim; m, 的 比特 数 . 

拉 格 尼 阿 斯 一 粤 得 电 效 科 和 过 里 克 尔 都 证 明了 对 D< 
0.645 的 背包 公 钥 码 问 题 可 以 破译 . 

i 

明文 的 比特 数 
TEXTILE 

BIH, n=100, log, (max 4) = 200 ， 则 D=0. 5 

ЛЭ AREA. EE AREK. MARERE 
是 明文 长 度 和 码 文 长 度 之 比 ， 所 以 攻破 D<0. 645 fJ G1 2548 
系统 的 方法 较 之 钞 米 尔 方法 更 具 一 般 性 . 
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GR DXX de жа, 


下 面 仅 叙述 拉 格 尼 阿 斯 一 粤 得 尼 兹 科 方 法 假设 已 知 公开 
的 背包 序列 а, ar s an Rb, аЄ2, i=l, 2, |, n, Ж 
ж. 
Sun =b, z—01, i= 12, n (2101 
S. 取 格 工 的 一 组 基 ， 
b (0,0,0,,0, —a) 
һ=(0,1,0,++,0,—а,) 
һ„=(0,0,0,++,0,—а„) 
buri = (0,0,0, -,0,6) 
S, FIR L KR LETE BF ub; ues bia. 
Ss. 车 任意 如 = GL eO 有 所 有 如 一 0 或 常数 
мука, 


з= ы u«j«aà 
给 出 (2. 10. 1) 的 解 , 则 停止 . 天 则 转 S, 


S. b= Уа, — BBS, SI S, Ий Grass) Е 


= 


包 问 题 的 解 为 (1 —ол\,1—х,,+,1—„). 
例 已 知 超 递增 序列 
bı=128, b=143, b— 275, 5,562, b,=1156, 
0,:= 2531, b;=6305, b=11590, 5,—23145, 
517250308, 5, —100697, bs—239213 
取 m=978426, w=4865, 将 (5) 转换 为 
41700622720, а, 00695695, а; =00359449 
a,=00777278, as=00731810, a,=00572203 
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ar 一 00342619，as 一 00517768，as 一 00081435 

4,,—00141920, а = 00677905, an =00422731 

取 格 工 的 一 组 基 如 下 : 

һ,=(1,0,0,0,0,0,0,0,0,0,0,0—622720) 

b,—(0,1,0,0,0,0,0,0,0,0,0,0—695695) 

b.=(0,0,1,0,0,0,0,0,0,0,0,0—359449) 

Ь,= (0,0,0,1,0,0,0,0,0,0,0,0—777278) 

b, (0,0,0,0,1,0,0,0,0,0,0,0,0— 731810) 

b, (0,0,0,0,0,1,0,0,0,0,0,0,0— 572203) 

b,—(0,0,0,0,0,0,1,0,0,0,0,0—342619) 

b, (0,0,0,0,0,0,0,1,0,0,0,0—517768) 

b= (0,0,0,0,0,0,0,0,1,0,0,0— 81435) 

bj, —(0,0,0,0,0,0,0,0,0,1,0,0— 141920) 

b= (0,0,0,0,0,0,0,0,0,0,1,0—677905) 

b= (0,0,0,0,0,0,0,0,0,0,0,1— 422731) 

5b,,—(0,0,0,0,0,0,0,0,0,0,0,0. 2764551) 

其 中 6 一 2764551 

用 L: 算法 得 归 约 基 ; 

br=(—1, 0,—2. 1, 1, 0,—2, 1, 0, 0, 0, 0, 

bi=( 1, 0, 3, 0,—1,—2,—1, 1, 0, 0, 0, 0, 
(—1, L—-2, 8,—1, 0, 0,—2, 1, 0, 0, O, 


2, 1, 1, 0, 0, 0,—1, 
O, b 1, 1, 0, 0, 1, 
14, 0,—1, 0, 1, 0, 1, 
bsi 2, 0, 2,—1, 1, 1,—2, 0, 0,—1, 1, 1, 


0,—1, 2, 0, 2, 1, 0,—1) 
1, 9, 0,—1, 0, 0, 1,—1) 


bio=( 0,—2,—2, 1, 1,—1, 1,—2,—1, 2,—],—1, 0) 
B= 1,—2,—1,—1, 0, 0. O, 1,—1,—1, 3,—1, 0 
эз=(С 1, 0,—1,—1,—2, 1, 0, 0. 2, 1, b b>? 
ы=С 0,—1,—1, 1, 3, b 1, 1,—2, 0, 0,—1,—2) 
B bz 可 知 其 分 量 或 等 于 0 或 等 于 常数 1. 
令 کے ہے ک رچ‎ ny کے ور کد وچ کد‎ 

GV mua‏ کک وہ کد و کو 
代入 验证 可 得 ;‏ 

四 十 at 十 ar 十 as 十 ae 十 alz 一 2764551 

满足 要 求 ， 所 以 100100111001 是 对 应 于 刻 文 2764551 的 明文 . 


Su 椭圆 曲线 公 钥 密码 


Q) ИМЕНЕ РИИ. 
4х 
VEG) 
RE ED Hox ЖАШАШКА УК. ЕНЕ 
RISER, MEITA. ЛЕЕ АПА 
ЗУЗААН ЕЛ. HARE BARE EE н BR 
特 拉 斯 《Weierstrass) 方程 : 
y + аху + ay = ي‎ + a? tarta (2.11.1) 
所 确定 的 平面 曲线 . X FECE I ЄР, i=l, 2, 3, =, 6. 
满足 (2.11.1) ВМА Cr, у) КУРЕ НИВ ЕВ. 
下 域 可 以 是 有 理 数 域 ， 也 可 以 是 复数 域 ,还 可 以 是 有 限 域 GF 
Ср). MEHE HH E don. 除了 曲线 无 的 所 有 的 点 外 ， 尚 
需 加 上 一 个 叫做 无 穷 远 点 的 特殊 点 O， 若 令 
+93° 


-X =Y 
х=, у= 


以 之 代入 (2.11.0 fü. 


[F+ +. E - [E] [Za [2]. 
Zz0 时 ， 整理 得 : 


Y:Z+a XYZ+a,YZt= X*--a,X'Z--aXZ'Fa Z 
(2.11.2) 
显然 (z, y) Ж (X, Y, Z) 相对 应 .而 县 任 取 一 非 零 常数 4， 
def (OX, Y, 2) ЯП QAX, AY, AZ) 表达 同一 个 点 ， 但 车 Z= 
OR, Ц (0, 1, O 为 例 , 它 可 以 看 作 是 (0, 1, e) 28 e—0 M 
得 到 的 ， 可 以 看 作 是 沿 y 轴 趋 向 无 穷 远 . 


D 对 于 三 次 方程 “2 二 cuzz 二 coz 十 co 一 0， teu 


代入 得 y! by o —0, 其 中 ва, 9 一 :一 lod 
则 三 个 根 分 别 是 : 


ñ ， 
эа VE +a] ba- УЕ 


| ， 
yea] — e. VR +a J-- R 


, : 
ERN VR +o | #9— VR 
2, 
其 中 R= yetip ， 


4-3 2-1-1 ,3= که 


以 后 称 279 c Ap! 为 判别 式 ， 记 为 和 4 P 
(а) 4>0 时 有 一 个 实 根 和 一 对 复 根 ; 
94. 


24. 


(by4 一 0 时 有 三 个 实 根 ; 特 别 当 | 3) =— [+] ом, 
三 个 实 根 中 有 两 个 相等 ; #=9 一 0 时 有 三 重 零 根 . 

(с) 4<0 时 ， 有 三 个 不 等 的 实 根 ， 

车 在 (2.11.1) PS yA (yarma) /2， 便 得 

y =tr tha + br bs (2.11.3) 

其 中 6=a? 十 4as， b,=2a, Бааз, be=al+á4as 

(2.11.3) 的 曲线 关于 r 轴 对 称 - 

下 面 举例 说 明 它 ， 

Bii у=х'—3тх+3 

y=0 时 ， 11—3243=0, р=—3, g=3 

A—27qg:+4p'=27X9—4X27=5X27>0 

故 有 一 实 根 ， 一 对 复 根 ， 图 象 如 图 2. 11. 1 BFR. 


y 


Æ 2.11.1 
例 2 у'=х*+х. 
p=1, q-—0, A=4p'=4>0 
图 象 如 图 2. 11. 2 Br. 
例 3 y=r—z, р=—1, 4-0, 4 一 一 4<0， 
zs 一 z=0 有 3 个 实 根 ， 图 象 如 图 2. 11. 3 所 示 . 


82113 

Bla =P +z 

ат. a-a-06 ,لدم‎ а= 

4 一 279: 十 4 加 一 4/27 一 4/27 一 0， 即 += =0 有 三 个 实 
根 ， 两 个 根 相等 ， 图 象 见 图 2. 11. 4. 

(3) #Р= (а, у), Q= (rs, у) 是 马上 任意 两 点 , LE 
PQ 连 线 . BP MQ EA T- sË, BI P =Q. 则 工 便 退 化 为 已 点 
的 切线 . 设 工 和 曲线 相交 于 另 一 点 R, LER 点 和 无 穷 远 点 O 
的 连 线 , 也 就 是 说 是 过 RR AS y WFR, L' 和 曲线 交 于 一 


点 , 用 PDQ #2. 实际 上 点 PBA 和 点 只 关于 < 轴 对 称 ， 曲 
» 96+ 


2.1864 
ҖЕ XF z Хх}, RA (2.11.3) RHE y Ss. 
ME P MORF MAKEAT Ah, APEEF 
轴 ， 这 时 工 和 椭 固 曲线 交 于 无 穷 远 点 O. 
BIS RAHA E N: 
P= Harta, (2.11.4) 
P= (rays Q= (reyes 
Ë P MIQ RAHA L BL. 


y=mz+b 
其 中 : 
а 
以 此 代入 曲线 五 的 方程 得 ， 
(тх + bY = а" + az + a, 
BI z’ — (mz-b)'+a zd-a,—0 


由 于 z. c 是 它 的 两 个 根 ， PQ 直线 交 曲 线 ETAR-— 
(zs，ys)， 根 据 根 与 系数 关系 ， 
aram 
^ 97 


一 


一 maZ3 十 二 
* POQ= (z" y 09 (т, —уз)= Gi, — Giu 00) 
即 
есас و‎ 
X; — 4i B 


(2.11.5) 


x + (5-316. = 2)‏ سک "ر 
给 出 已 知 曲线 (2. 11. 4) ERA Р=(т,у);д=‏ )2.11.5( 


(х,у), POQ (x,y FIER. 
3 P=Q, у= aca Ж х 098018: 


siia) 
Baita) a 


其 中 Буту | 2» 


代入 曲线 五 的 方程 得 : 
(Eu) = фаль 
根据 根 与 系数 的 关系 有 : 


Я 1 
ааа +, =| а) 


2у 


故 得 P=Q= (л, у) h, PORS (2°, у"). 
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saya 
x° =| ыа) —322, 
” (2.11.6) 
DEM 
1 


Q.11.6) RHA P=Q ff, RPO G, y WAR. 
O 对 于 一 般 的 韦 尔 斯 特 拉 斯 方程 : 
F(z,y) = у + ayz + азу — (а? + аш? + az + as) 


=0 (2.11.7) 
也 可 以 得 出 类 似 的 结果 , 设 P = (ry), = (ry ,过 点 P 
MAHER LÝ: 
y=mr+b. 
34 rAr 时、 ,ل‎ by —mzi=x— z Za 以 之 


f 


代入 韦 尔 斯 特 拉 斯 方程 得 ， F(x,mz 十 8) 二 0. 
FER LIRR Е Р К (z y) Fay) 
=0,%;: 
Е(х,тх++Ь)=—(ху—х)(т—х,)(т—°) 
比较 系数 得 : 


mir zr" =m Бата 


Ж: А 
E — mra m-—a,—2 2 Gane 
y'=— Gia) z" -m—a; 
(2.11. 8) 给 出 已 知 曲线 (2. 11. D ERA Psy) (zx, 
у), Ж PBQ 一 (x* , y) HAR. 
又 当 P=Q= (az, у) 时 ， 有 
2 %2 +ау+а +a, Z 32! - 2042-24 


. dy :32'42aÍr+a ay 
Ă da^ вутага, 


(2.11.9) 
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(2.11.9) 给 出 曲线 (2. 11.7) 上 点 PO y 的 切线 斜率 ， 设 切 
于 点 书 的 切线 方程 为 : 
у=тх+Ь (2.11.10 
W: 
_ 3 于 十 2azz Fa —a y, 
m= y Tamia (2.11.11) 
b — ma, су Заа ay 
туту 2у Faz Бау *! 
_ 29 E 2a ziyi {ау = 321 — aTi — aT, 
uH 2», Faz, ka; 
Н уау tasy =z алі Faz tas 
aitari Бат as) — 82$ ~ Zar am азу 
2y, Faz Fas 


= саа ааз 
= By Fann Fas (2.11.12) 


和 前 面 类 似 的 方法 可 求 得 当 P=Q BF, P OQ = sy AS 
标 ， 这 里 从 上 略 . 

GQ) 关于 外 运算 的 群 的 性 质 . 

在 讨论 椭圆 曲线 上 点 关于 旬 运 算 构成 群 的 性 质 之 前 ， 先 从 
下 面 图 中 注意 观察 POQ 的 意义 ， 对 理解 将 有 帮助 、 


“6 


图 2.11.5 
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定理 2.11.1 若 已 和 久 是 曲线 玖 上 任意 两 点 ,，PQ EARL 


SEECPS— AR. Й: 

(а)  (OGOQQGOR-O 

(b PGO-P 

(с)  POQ-QOP 

(d) E EFE— 8 Q, 8 PCOQ—O, НОЖИ 
ӨР. 


(le)》 对 于 PP 上 的 任意 点 P、Q、R， 
cOQOR-POQ(QQ9D 

证 ; (a) Р©О T КЕЗШ E LAA EMEERFPHF 
» Si. 3c E TAGES О. 

(b) 在 曲线 上 取 无 穷 远 点 0 作为 Q Ж, PQ 连 线 平行 于 
> 轴 , RHRE FRA. 此 时 RR 点 和 PP 点 关于 xz 轴 对 称 , 工 和 
LEG, WU POO-P. 

(с) 根据 РФО 的 定义 , РФО=ОФР 应 成 立 , 即 : TD 
运算 交换 律 成 立 . 

O sx PdmQUEAIIHA ET RA. REER 
(а) H: (PDQ) @R=O. 根据 性 质 (b) Ж; POO=P, 所 以 ， 
POR=O, R 是 所 求 的 OP. 

(e) 可 通过 各 种 情况 对 (e) 进行 验证 , 这 过 程 比较 繁琐 , 在 
IE ARE. 

从 上 面 定理 可 知 ; FH O ЖЕ ЛЕНӘ ШЕ ОЖ, 性 质 
(е) ЕИ РОЖИ. 性 质 CO Ж: FP 点 在 曲线 
Е, MERE LATORRE ТЕК, HER 
Off. ORA. MEKAH, РФР 记 为 PP 一 2P. 
RERE: 


-401- 


тР=Р+Р+--+Р 
TPT t 


mk 
总 之 ,椭圆 曲线 上 的 点 关于 运算 十 构成 阿 贝尔 (Abel) BE. 
Wo 对 于 韦 尔 斯 特 拉 斯 方程 
y + алу + азу — (2° + аз" + ах + а) = 0 
ЖХЮВЕ Е F— Роу), ШЕ. 
О-Р = (д, — yı — az а) 


8| PO X E F RJ) A x = zi 代入 韦 尔 斯 符 拉 斯 方程 


得 

y + azu + ау — (ri + алі + а + a) = 0 
和 (y 一 у) (у — 5) 比较 y 项 系数 可 得 ， 

ах + a, =— у, — y 

— ——» aza 

Ш — P= (д, — у — ai — a). 

#7 EE:y=z' 十 17, 已 知 P, 一 (一 2,3),P, = (2.5) , 求 : 
(а) P,+P,; (b) PP (с) —Р,. 

Ж: G) AAP PIER L, LUI 


代入 y=zx*+17， 得 : 
[ien] mme 
一 于 好 一 4z 二 1=0 
， zs 一 一 2 是 这 方程 的 两 个 根 . 


z. а= Таас 1= (z — 2)(z + 2)(х — z) 


zi 
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сас, n=} 
m--l. مسرو‎ 
以 之 代入 工 ; y=+=+4 
| : 
эзан) зан * 


peni -3 
Фф) 二 2 十 17， 等 式 双方 对 工 求 导 得 : 


dy. dy _ 32 
2y 40—39. dr 
P 点 的 切线 斜率 为 : 
23: C g 
2*3 6 
故 已 点 的 切线 方程 为 
y—3-2G +2) 
y=2z+? 


у = 2x + Т ЖИ Е BEREN Gy RE z, 满足 ， 
Ох + 7) = z' + 17 
即 Az! + 28x + 49 = xà + 17 
z س‎ 4x! — 28x — 32 = (z! + Ax + 4)(х— 8) = 0 
. T; = 8,5 (2z + 72-23 


故 2P, = (8, — 23) 
(с) — P, = (~ 2, — 3) 
O 阶 的 概念 . 


Ж 2-11-1 己 是 棋 图 曲线 马上 的 一 个 点 , 若 存在 最 小 的 
ERN n, KR > 已 =O, 其 中 O 是 无 穷 远 点 ， 则 称 ” EP 点 的 
Br. SOR. 不 一 定 都 存在 有 限 的 n, 但 我 们 感 兴 趣 的 是 求 顶 枉 曲 
线 EE 上 有 有 限 阶 的 点 ， 特 别 是 定义 在 有 理 数 域 上 的 椭圆 曲线 . 

Bis CMAR ENTES: => +1 HN EE P= 
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Q, 3) 点 的 切线 斜率 为 : 
dy| „Зе 
di 2y Juw 
ЊЕ EER PORIE: 
>—3=2(х—2) 
Д 3 一 2z 一 1 
B y= 22 一 1 代入 曲线 方程 ,得 : 
Qr — 1} =x +1, 4x — 4z +} = +l 
а? — 4a! + 4л = 0,z(z — 2( = 0 
故 切线 > 一 2z 一 1 交 曲线 玉 于 另 一 点 (0, 一 1), 或 2P = (0,1) 
.下 面 求 2P 十 2P 点 ,方法 和 前 面 类 似 . 
过 2P 点 的 切线 方程 为 
y—1=0 


m 
一 下 -2 


у=1‏ هھ 
VI у=1{ АЖЕН Е 的 方程 得 < 一 0， 即 切线 ?一 1 ЖЕФ‏ 
Ж. Ж.‏ )0,10( 


4P = (0, — 1) 
ЖАР = (0, — D RIZP = (0,1) BEA L, z=0. 工交 已 于 
BAO W: 
6P=O 
(6) 椭 加 曲线 的 密码 系统 
首先 叙述 一 个 定理 . 


定理 2. 31. 2 ШЖ E Же ХАВ GF (q) ES WEE BLAN 
EE LKA y EGF LARE. 则 
IN— «+0162 /q 
该 定理 由 亚 汀 (Artin) 提出 猜测 ,后 来 险 斯 (Hasse) 给 了 
证 明 . 证 明 在 这 里 从 赂 , 
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由 前 面 的 讨论 可 见 ， 椭圆 曲线 上 的 点 对 所 定义 的 加 法 运算 
构成 Abel 群 . 

车 我 们 能 找到 一 椭圆 曲线 玉 ， 将 明文 通过 编码 幅 入 到 下 的 
Ao 然后 在 E 上 进行 可 密 .。 加 密 变 换 也 是 一 种 编码 ， 但 从 明文 
到 椭 男 曲线 下 上 的 点 的 编码 结果 不 是 密码 、 般 定 嵌 入 变换 已 解 
决 ， 下 面 讨论 在 椭 回 曲线 上 的 加 密 ， 它 实际 上 是 将 熟知 的 加 密 
运算 移植 到 椭 图 曲线 上 . . 
ба) Ж+Е—##ЛК# Diffie-Hellman) AARE. 

已 知 g Ë GF (q) 是 大 家 共同 确定 的 ， 用 户 A 任 选 一 整数 
а, lçasqq — 1, Жа, 将 g€ GF (D AFR. g EGF 
D L-METER. MP BEREK o. 11l 予以 保 
Ж, 将 g*EGF (а) AF. WË А 和 B 秘密 道 信 ， 他 们 之 间 的 
EGET e". 

g = (б) = (y 

而 第 三 者 只 能 知道 g* 和 g 无 法 得 知 g*， 从 g* Rf RHF a 
或 5， 这 是 离散 对 数 问题 ， 是 为 人 熟知 的 困难 问题 , 

下 面 介绍 如 何在 枉 圆 曲线 上 实现 狄 菲 一 胡 尔 受 的 体制 ， 假 
定 椭圆 曲线 五 定义 在 GF (q) RE. 

设 P€ E. 要 求 由 P 产生 的 群 的 元 素 足够 多 ,PP 的 作用 相当 
TERK AM BAIE a Mb FURE, aP, PEE 
AF. А, 刁 间 通信 用 的 密 钢 为 csP， 这 是 第 三 者 无 法 得 知 的 . 

(b) 马 塞 一 阿木 拉 〈Massey-Omura》 公 钥 体 制 . 

已 知 有 限 域 GF (д), 用 户 4 选 一 加 密 密 钥 eu, Osce sc N. 
满足 (es,g 一 D = 1, 通 过 欧 几 里 得 算法 求 得 4, 满足 ， 

ead, = (mod (q — 1)) 
2840938 H HRP B H esda = 1(mod (q — D) iE EL Gas 一 
D =1, ЖАЖАВЖЯВ m, HARE mu. 万 无 法 获得 
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т, HERRIE ел, ВЯ da. B EE A VE т“. 4 对 收 
BH та ес), Есе то В. B 对 此 结果 作 (nts 
= mo чш m(mod q) ， 从 而 获得 明文 m. 

现在 来 讨论 马 塞 一 阿木 拉 密 码 体 系 在 椭圆 曲线 上 的 实现 . 

BE m KABE EM P. 点 . 设 E 上 的 点 数 NN 为 已 知 的 大 
Ж, STAPAN e,1 < < М, (е,№ =1. d 
Жей, Bil de = 1 (поа N). А GS B f m, 4 首先 
送 去 esP, 这 里 ea 表示 属于 用 户 A 的 e.B 退还 给 A Ш ese P... 
A BUR X; 4»евелР„=евР„. B RÀ ds f des. u= Pus ATIRE 
T P. 

(с) ЖЖ СЕ I GamaD SERIE. 

假定 在 一 个 有 限 域 GF(g) 上 讨论 . 设 gEGF(g), g 不 为 0 
TR. 每 一 用 户 随机 地 选择 一 数 a, 0<a<q, а 保密, 而 将 g" 公 
并 ， 如 车 要 向 4 送 去 信息 m. 可 随机 产生 一 整数 吉 , 送 给 4 以 
FA М: 

(g^ mg) 

BUT g = QI , ЭД КЖЕ а,, WARG g. 但 А 


7 掌握 a4， 他 可 从 g 这 个 元 素 得 知 e, FR g*** 去 “ 除 ”第 二 


+ mg" URE m. 这 里 “ 除 ”的 合意 应 理解 为 用 z“ 的 逆 元 
RRR mg. 
同样 可 在 椭 图 曲线 上 实现 这 个 系统 ,假定 明文 m KARI E 

上 PP 点， 选 一 点 BEE， 它 相当 于 上 述 的 元 素 g APRE 
择 一 数 a，0<a<N，N EBAR, a 保密, 但 将 aB AE. dX 
向 A т, 可 送 去 下 面 一 对 数 偶 ; 

(kB, Pu + k(a,B)) 
上 是 随机 产生 的 整数 .4 ЗТ ЕВ R koB. ЎЎ: 

P. + h(aaB) 一 a,kB = P. 
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X P. 
$12 因数 分 解 任 斯 徒 拉 (Lenstra) 算 法 


因数 分 解 问题 由 于 密码 学 的 研究 而 重新 被 重视 ， 如 车 大 数 
的 因数 分 解 获 成 功 , 则 RSA 等 密码 系统 便 宣 告 失败 ， 下面 介绍 
椭 曾 曲线 在 这 方面 的 应 用 ， 它 属于 H.W、 任 斯 徒 拉 的 工作 . 
C) BR (Pollard) 的 p 一 1 方法 . 
RENERE n 是 合 数 , 是 = 的 素 因子 , 但 p 一 1 没有 大 
的 因数 ， 方 法 如 下 : 
Sl: KEME, 它 可 被 小 于 某 一 整 败 的 所 有 素数 除 尽 ， 
SPUR А61, SISTER k—lem (1, 2, =, b} 
S2. 选取 整数 a，2<<a<n 一 2 
S3: ЖЖ a^ (mod я). 
S4: 利用 53 的 结果 计算 a=ged (a^—1, n) 
55: 如 若 < 为 2 或 ”本 身 ， 则 选 新 的 a 重新 开始 . 
根据 假定 p 一 1 没有 大 的 因 败 ， 可 被 夏子 5 的 某 正 整数 除 
尽 ， 因 而 是 一 1 的 倍数 ,由 费 尔 玛 定理 ; ari = 1(mod p). 
BEA at = 1 (mod р). HK p ARRIR gcd ((a* — 1) ,л). 38 at = 
1(mod п) 时 方法 失败 . 
例 设 n=4731， 2=60, а=2. 
2®(тпой4731) = 2****5(mod 4731) 
= (4096)*(mod4731) 
= 4096 • (4096)? (mod 4731) 
4096? = 1090(mod 4731) 
2® (mod 4731) == 4096 X (1090)*(mod 4731) 
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= 4096 X 619(mod 4731) = 4339(mod 4731) 
又 4731 一 4338 十 393， 
4338 一 11X393 十 15 
393 一 26X15 十 3 
15=5х3 
7. 4731=3х 1577 
(2) mod n FH hii Е. 
定义 2.12.1 假定 p 是 n 的 素 因子 , Н p>3, m 是 任 一 整 
数 , ж. 2 是 任意 两 个 有 理 数 ， 其 分 母 与 mm EK, 但 n 
化 约 到 最 后 ， 分 子 为 被 m 除 尽 的 分 数 时 ， 写 作 zz (mod 
т). 
以 上 是 同 余 式 的 概念 的 拓 广 ， 可 证 若 z, 是 一 分 母 与 m E 
素 的 分 数 ， 则 存在 唯一 的 整数 rs Sum, WE =r 
(mod ma)， 并 记 z;= (хатой m). 


着 五 一 下 ,mm = 1) 则 — z = — 
bz, = a (mod т) (2.12.1) 
上 式 在 (6,m) = 1 PFE EE z, 02а Gm — 1. 
TER ЕЖЕ ЕЛҮ ШЕФ RI THE ti E. 定义 一 E(mod 
т): P(z,y) € EEX 
P (mod m) à (z(mod m), (mod т)) 
JIJ P(mod т) 38 E (mod т) RM Ha £b FE уң. BIE X T E Hl 
线 的 讨论 均 可 推广 到 Emod m) 上 来 , 只 不 过 它 的 每 一 项 都 理 
TES mod я 意义 下 的 剩余 . 比如 yy 一 r tar + b, irit a fl b 
都 理解 为 <(mod т) fü b(mod m), 特别 是 已 (mod m) 十 
P,(mod m) 也 就 是 公式 (2. 11. 6). 不 过 其 中 每 一 项 都 是 mod m 
的 剩余 :分 母 (z, 一 2 理解 为 (z, — 2) HI , ВС, 一 20 7 ff 
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(ж, — z+) * (z, — z+) `! = 1(mod m). 尤其 是 Elmod р) 上 的 无 
穷 远 点 Okmod т) ЗШЕ E ЕЛЕКТЕН m BE FHS 
点 . 

定理 2.12.1 ФЕ: y =r tarth, а, bEZ, ged fat 
27/8, n} =1. P, 和 P, ЖЕ ERR, HA P: 尖 一 已 ， 它 们 的 坐 
标的 分 母 与 EK, 则 已 十 PE 五 的 坐标 的 分 母 与 ” 互 素 的 充 
要 条 件 是 : БАЕВ pla, tE 曲线 Elmod р) ЕР, (тоа р) 
和 P, (mod р) 之 和 为 E(mod р) 上 的 无 穷 远 点 O(mod p) Ki 
E(mod р) X GF) 域 上 的 椭圆 曲线 .OCmod р) H GF) Җ 
上 的 椭圆 曲线 上 的 无 穷 远 点 . 即 指 的 是 (z,y) € 五 上 坐标 的 分 “ 
FA p ETRA. 

证 明 必要 性 、 即 已 知 P, = (л\,у),Р, = (zy) P, + 
Pa = (лу) € 五 ,它们 的 坐标 的 分 母 都 和 = ER, pÆ n й 
KAT. J 

P,(mod р) 十 P,(mod р) Æ O(mod р). 

ху Æ zx (mod Р) ЯП x, = z, (mod р) 两 种 情况 进行 讨论 . 先 讨 
论 第 一 种 情况 (a)z, # z,(mod р). El P, > Р, 根据 


БИК? 
一 


| -a Tr ریو کول‎ +25 саа 


mn 
(2.12.2) 
EI P, (mod p) + P; (mod p) эё O(nod р) Й. 
(br, = z, (mod р), Ж P, = P, REP, + Р, еВ. 3: 
P = P, P, + P, = 2P, = (лу, у) ,这 时 


321 ta)’ 
291 


n [tnu‏ = در 2n,‏ = = وھ 


(2.12. 3) 
其 分 母 2y 不 被 p 除 尽 、 如 若 不 然 , 必 有 ita W p RR, 这 
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HARA z* 十 az 十 b 和 它 的 导 函 数 有 相同 的 零点 x 一 z1, ET 
十 2707 së 0(mod p) XR mod p 无 重 根 的 假定 相 矛 盾 . 这 也 就 
证 明了 Р, (пой р) 十 P,(mod p) Z O(mod р). 最 后 假定 x, = 
z, (mod 2) {E P, Z P,, Ë z; £ z др» z {Т} 
和 分 子 均 无 户 的 因子 , r1. 根据 P.+ P, 的 坐标 的 分 母 不 含 p 
的 因子 的 假设 . 


n- [azz -zrs »=—»+| 2—2 | (zı xa) 
Жуу ry 必然 要 成 立 ， 这 就 证 明了 
у = у (той р) 或 Р, (той р) = P,(mod p). 
另 一 方面 
y = Gc ра) ca + рх) + b 
=r 3n p t+3rp rtp" zr Бах tapeto 
= +z! + 3p'ziz + az, + ap'z + b(mod р) 
жох} + az, + b + p'z(3z1 + a)(mod p+) 
= y! + paxil + a)(mod p+) (2.12. 4) 
ФР, # P, ДЕ т, = z (nod р), у, = у (mod р). 
P, (той р) + P,(nodp) = 2P,(mod p) 
2P,. (mod р) Ж O(mod р) 的 充 要 条 件 是 y, = y, == 0(mod 
P) ;这 时 从 (2. 12. 4) 88:01 — э) = Qi — 3x08 一 ?0 的 分 
Tp PU 尽 除 , 导 致 
Зх} + а = 0(mod p) 
这 是 不 可 能 的 . 因 多 项 式 志 十 az 十 bmod p) 没有 重 根 , 这 就 证 
明了 必要 条 件 . 
充分 性 . BEE n HRH REF pH Pi(mod р) 一 P,(mod 
` P) 0(mod р). ЗЕР, + P: КАЮ n ER, БЕТП 
坐标 的 分 母 不 被 = 的 任意 因子 p BRR. 
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CO # т, # z, (mod p) ,根据 公式 (2. 12. 2) 可 知 zy 的 分 
ERE p 除 尽 , 这 时 定理 自然 成 立 . 
(2) Ф л, = zi (mod p), H y! = c + az + B. Жу = 
+ y (mod 0) АН Р, (mod р) + P,(mod p) Æ 0(mod p) Ж 
э = yi # mod p) 
TE ху = z, (mod р),у, = y, (mod р) 前 提 下 ,有 两 种 可 能 ,P = 
P, R P, Æ Pa 
ЖР, = P,, P, + P, 一 2P,, 从 公式 (2.12. 3) ， 这 时 分 母 
不 存在 之 的 因子 . Ë PAP, % 
aa рх, rel, х HIERA p 的 因子 . 


ق کر و 


3z +a (mod p) 
所 以 у, Fy 2y, (mod p) 
XD „эз 9 FEREK AT. A 


Or + yz, — 2) mn-—a 
AO. 12. 2) 的 分 母 不 存在 p 的 因 于 ,也 就 是 说 P, + P, 的 坐标 
的 分 母 不 含 p 的 因子 .证 毕 . 

(3) 定理 2. 12. 1 是 任 斯 徒 拉 因 数 分 解 的 基础 ， 

给 定 一 合 数 x， 要 找 一 察 数 p， 使 得 pln，1<p<n. 

(a) 首先 要 随机 地 生成 一 椭圆 曲 线 E:y = x" + ar +b, B& 
E БЖ PG» y) ,解法 是 先 随 机 产生 (zx,y) 点 ,及 整数 co5 一 
Y a ar. KERRE RARE LRP ARET. BER 
ба? + 270° = 0 EXM ARENE + ат 十 6 一 0 没有 重 根 . 
Ж 4a + 27 = 0, 则 改变 а, RAA БА. 

D AH BMC, 计算 

i-Ile › МАС, V ЫВ. 


“пг 


(с) 计算 EP Gnod n), REAR C. 12. 2), (2. 12. 3) ,zs 和 
уз 的 分 母 分 别 为 z 一 ху Ж 2у,. 3R (z, — ту) fll 2y, (mod n) 的 
逆 时 , 若 发 生 困难 ,正好 说 明 分 母 含 有 的 某 一 因数 . 这 正 是 我 
们 党 要 的 . 转 而 求 它 和 "的 最 大 公 因数 .根据 定理 2.12.1,P, + 
P, 的 坐标 含有 的 因数 p 的 分 母 的 充 要 条 件 是 

P, (mod р) + Р,(тойр) = 0(mod р). pln 

算法 是 在 ECmod n) 上 进行 . 实际 上 也 是 在 ECmod р) E 
行 ,p 是 4 的 任意 因数 . 

在 计算 EP 的 过 程 中 存在 一 个 局 ,使 得 RP (mod р) = 
0(mod р). 也 就 是 名 为 PCmod р) 点 阶 的 倍数 ,在 计算 过 程 中 求 
mod n 某 分 母 的 逆 时 , 代 以 求 n 和 分 母 的 最 大 公 因 数 : 这 个 最 大 
公 因 数 ,除非 就 是 ” 本 身 ,一般 说 来 是 的 因数 . 所 以 在 计算 
RP (mod n) I , Е — p |n, Fk P (mod р) 的 阶 时 ,我 们 将 获得 
一 个 = 的 真 因子 . 

任 斯 徒 拉 方 法 当 所 选 的 E 和 P 不 成 功 时 , 换 上 新 的 一 组 重 
新 开始 , 若 失败 的 概率 为 ， 则 连续 次 均 失 败 的 概率 为 处 ， 故 
Ж! 次 失败 的 可 能 性 很 小 . 

算法 中 涉及 到 选 两 个 整 教 界 BHC, BHC 越 大 当然 使 得 
找到 kP(modp) = 0(mod р) 的 概率 增加 ,然而 ,计算 的 时 间 也 
越 长 . 

(O 12.2 Ekin = 5429, 试 通过 椭 较 曲线 因数 分 解 4. 

ЗАВ = 3, С 92, ЖЕ.у = а? += 2 

4 2P = (6,1) ,根据 公式 (2. 12.3) ， 可 得 


MM ЕН 


»-isib-1)-- 
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^ Ч = „(mod 5428), 4и = 17(mod 5429) 


и = 4076(mod 5429) 


令 一 2 = v(mod 5429), 8v = — 73(mod 5429) 


v = 3384(mod 5429) 
故 2Р(то 5429) = (4076,3384). 
当然 也 可 以 用 下 面 的 步 台 计算 2P (mod 5429). 


«= [$32] -2= |] 一 26mod 5429) 


但 去 理解 为 2.'(mod 5429), 即 上 面 的 计算 在 E(mod 
5429) 上 进行 . 2 (mod 5429) = 2715 
^ u= (2715 X 5( — 2 = (2717 — 2 
== 4078(mod 5429) 
RR 


eg 


=— 1 + (2715 X 5)(— 13 X 4072) 
=— 1 + (2717) 0354) (mod 5429) 
== 3884 (mod 5429) 
HI 2P (mod 5429) 一 〈4076,3384), 结 果 是 一 样 , 这 里 47 (mod 
5429) = 4072. 
依 类 似 的 算法 计算 4P(mod 5429). $ 22P (mod5429) = 
Ga v) ,下 面 计算 假定 在 GF(p) 上 进行 ,其 中 Р |5429. 


а 
u= | 3 d 一 8152(mod 5429) 
А 
= |”) 一 2723(mod 5429) 
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13397! = 2826(mod 2723). 
и; = (1551 X 2826)? 一 2723(mod 5429) 
== (1923)! — 2723(mod 5429) 
80 — 2723(mod 5429) 
一 一 1943(mod 5429) = 3486(mod 5429) 
vw, = — 3384 + (1551 X 2826) (4076 — 3486) (mod 5429) 
==— 3384 十 1823 x 590(mod 5429) 
三 一 3384 十 5338 (mod 5429) 
== 1954(mod 5429). 
4P (mod 5429) = (3486,1954) 
类 做 的 步骤 计算 273^ P (mod 5429). 
H a=6, p=2 时 ， 发 现 分 母 与 5429 有 61 HARF. 
5429 一 61X89 
(5) 附带 说 明 取 < 一 92 的 依据 , n=5429, /5429— 73. 68, 


Щл BER p< vn =73.68, Ж ХЕ СЕС) ЕКИ ИНН E 
上 的 属于 GF(p) 的 点 的 数目 N 应 满足 


М<р+1+2 Vp=74+2 VT 
<74+2 J/81—92 


取 c 二 92 RHF c> 的 考虑 . 


$13 编码 理论 简介 


在 近代 密码 学 研究 中 有 一 种 努力 ， 企 图 将 纠 错 码 用 在 密码 


上 ,由 于 纠 错 码 有 着 许多 独特 的 功能 , 所 以 它 具 有 潜在 的 优势. 
首先 可 一 次 编码 完成 对 信息 的 加 密 和 纠 错 两 种 功能 ， 提 高 元 余 
度 码 元 的 双重 作用 ， 在 保密 与 纠 错 间 找到 一 种 优美 的 折衷 、 因 
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а-аа. 
… D 为 了 讨论 方便 起 见 ， 有 必要 介绍 纠 错 码 理论 ， 对 已 掌 
担 这 部 分 内 容 的 读者 可 免 去 . 

通常 G, D 组 码 表示 由 /位 0,， 1 字符 囊 到 位 0, 1 字符 
串 的 编码 过 程 ， 即 编码 的 过 程 为 将 明文 


m= munam mE (0, 1), i=1, 2, =, È 
变换 为 码 文 
Е (m) —w-—wyw, € (0, 1) 


i=], 2, =, п 

码 文 在 信道 中 传输 由 于 受到 干扰 难免 出 错 ， 编 码 的 目的 在 于 发 
现 错 ， 这 是 检 错 ， 进 而 将 出 错 处 纠正 过 来 ， 这 是 纠 错 ， 所 以 检 
错 和 纠 错 是 编码 理论 所 要 研究 的 内 容 , 当 然 密 码 也 是 一 种 编码 ， 
它 则 是 以 保密 和 安全 为 目的 ， 最 简单 的 有 ， 

Ai 9+1, л) MERERI. BPE n 位 明文 后 面 附加 一 位 奇 
TEE. ND 

Elm) = mm mm 

如 果 传输 过 程 中 出 一 个 错 ,即将 某 一 位 的 0 错 为 1, 或 将 1 错 为 
0， 则 可 立即 被 发 现 . 当然 在 n 位 中 若 出 两 个 错 ， 则 反而 发 现 不 
Т, SRE n 位 中 出 两 个 错 的 可 能 性 比较 小 .这 样 的 码 并 不 能 
判定 是 哪 位 出 了 差错 ， 所 以 只 是 检 错 码 . 

例 2 Gn, л) B, 即 

E(m)=mm mmm emmm ma 
即 对 每 组 ”位 的 码 连续 传输 3 遍 ， 若 某 一 位 出 现 不 同 ， 则 必 有 
两 组 是 一 样 的 , 便 以 出 现 两 次 一 样 的 为 准 , 达到 纠 错 的 目的 . 当 
然 ， 同 时 在 同一 位 上 出 两 次 或 三 次 错 的 可 能 性 虽 存 在 ， 但 终究 
是 不 多 见 ， 菜 一 位 三 次 传输 相同 ， 由 于 错 的 一 样 面 被 认为 正确 
的 , 而 出 错 的 模 率 是 很 小 的 , 例如 出 错 率 为 0.001, 传输 正确 的 
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概率 为 0. 999， 三 次 都 正确 的 概率 为 《0, 999)'—0. 997003, Hi 
现 1 个 错 的 概率 为 


3 
| 2) (0. 001) (0. 999)? = 0. 002994 


ВТШ Gn, п) 码 传输 正确 的 概率 包含 3 次 都 正确 及 最 多 出 一 次 
错 的 概率 之 和 ， 故 为 
0. 997003 十 0. 002994 一 0. 999997 
所 以 传输 正确 的 概率 从 每 位 为 0. 999， 提 高 到 0. 999997， 但 码 
文 比 明文 扩大 了 3 倍 ， 这 很 难为 人 们 所 接受 . 
(2) 4 т тутат, т! mimo m 都 是 长 度 为 n 的 0， 
1 符号 串 ，w (m) ут 的 位 中 1 的 数目 ， 称 为 m 的 权 . 
d(m,m') = wm (D т) KA m fI m° ARER. 
由 于 101=0, 090=0,100=001=1, 所 以 d(m,m') Ж 
际 上 是 mw 和 ww 不 同 的 位 的 数目 . 以 后 田 简 记 为 十 , 不 必 特 别 声 
Bj. 
引 理 2. 13.1 Жа, 8,，c 都 是 长 度 为 ”的 0,，! 98, 即 
A= Qa an 
b—bbyb, 
€—0c02t60, 
а, b. GELO, 1), i21, 2, =, n. W 
(а) d(a,b) = 4,0), 
(b) d(a,e) < d(a,b) + d(b,e). 
证 明 : 
(а) d(a,bY = w(a +b) = wib + a) 
=4Ф,а). 
(b) Faru, MARHA, I 
a=b {Н bxc. 或 ab 但 b=c 
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当然 反 过 来 车 а=с 时， 也 有 两 种 可 能 ， 一 种 是 a; 一刀 二 c,， 另 
种 则 是 a tb, hte, ЖР ННВ, $ 

0, а= 

1, 2,9%, 


d(a,e) = ydlan) 
= 


d(ai, b) = 1 


< аш, + Ўв) 
e & 


< d(a,b) + 4(®,с). 
定理 2.13.1 一 组 码 可 以 检 出 上 个 错误 的 充 要 条 件 是 码 
各 最 短 距离 至 少 为 十 1. 
证 明 ; Ew www, 是 码 字 , w 传输 中 有 误差 c， 指 收 到 
的 是 r=w+e,e 能 被 检 出 的 充 要 条 件 是 w 十 e 不 是 码 字 , 因此 能 
检 上 出 个 错误 的 充 要 条 件 是 码 句 之 间 的 距离 至 少 为 十 1. 
定理 2. 13. 2 若 两 个 码 字 之 间 的 最 短 距 离 为 关 十 1， 则 可 
以 纠正 权 不 超过 的 误差 . 
证 : EYE a 传输 过 程 发 生 误差 , 得 到 的 是 r, H das 
&, 则 不 存在 别 的 码 字 与 r 的 距离 不 超过 上 .如若 不 然 , 设 为 8, 满 
№ dGr bk HERE 
d(a,b)  d(a,r) + dtr, b) 
<k+¿k<2k+1. 
与 假设 矛盾 . 
定理 得 证 .“ 
定理 2. 13. 2 是 极 大 似 然 译 码 方法 的 依据 ， 例 如 有 码 字 
10010 01001 10101 01110 
ИЖИ F: 
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10010 91001 10101 01110 


г 


10010 一 一 11011 00111 11100 
01001 11011 — 11100 00111 
10101 00111 11100 一 一 11011 


01110 11100 00111 11011 一 一 
min (d (a ар} =3, 故 能 纠正 一 个 错误 . 


w 10010 01001 1040]  , 01110 
一 ج‎ 


00010 11001 00101 11110 
11010 00001 11101 00110 
r 10110 01101 10001 01010 
10000 01011 10111 01100 


10011 01000 10100 01111 
ЕЗИ у 的 译 码 表 , 比 如 r=01011, 它 与 01001 E 


离 为 1, 故 译 为 01001. 认为 第 4 位 出 错 . 码 字数 量 大 时 擎 译 码 
表 译 码 工作 量 和 存储 量 都 太 大 . 


《3) ERER. 
令 
G, 
e| [m m oon 
G= (ga mile 8 077 8 
G En En CU En 


EPG GIERE ; 行 向 量 ， 即 
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6; = Gaga p 
g, € (0,1), = 1,2, dj = 1.2," n. 
Ў m—mmesm 为 信息 块 ,或 长 度 为 1 的 明文 块 , 编码 过 


程 为 
gn gu Ut Ru 
EGO = (mmm) E” 5*7 Eel mG 


£n Bn ^" En 


= Ya = W 


对 于 信息 1 0 1， 对 应 的 码 字 为 


9101 

01001 t 

001101 

100110 

w- aop een 

001101 

= (100110) +(00110 D 
-00101D 

现 将 长 度 为 3 的 信息 和 对 应 的 码 字 列 表 于 下 : 
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显然 , 码 字 (6 位 ) 前 3 位 为 信息 位 , 余下 的 3 位 是 校 验 位 . 
可 将 这 种 情况 推广 到 (e, D BE. BI 


1 0 0 0 gu Zu * £i 
_|0 10 — 0 gn ga = Z< 


0 0 0 1 £n ga '" Вн) 
上 ， 信 息 memm m, 经 编码 过 程 得 n 位 码 字 


信息 位 | 校 验 位 
i i n—i fit 


为 了 方便 起 见 ， 假 定 明文 m=mm m 对 应 的 码 文 是 
1 0 0 — 0 gu £m '" B 
9 1 0 os 0 ва Ди ^" En 


W = (этте) 


0 0 0 ++ 1 g £m o Binili 
= (mimama tamana me) =F 


显然 有 

ma, = Dem, 一 (2.13.1) 
或 

Rumi gum + T gum mÁ = 0 

j=l, 2, =, nl 

也 就 是 说 meas mi+:，…， 开 。 即 研 加 的 多 余部 份 是 用 来 检验 传 
输 过 程 是 否 出 错 及 哪些 出 错 ? 所 以 叫做 校 验 位 ，m 一 ! 个 方程 
(2.13.1) 可 以 用 矩阵 形式 表示 为 


2o 4207 


# E gn 0 1 9||m (0 
Bint Bout (Ut Rn: 0 0 < 1J lm, 0 
或 写作 

Hr'=0 (2.13.2) 


称 之 为 校 验方 程 , Н = On ox. НЕВЕ. PRERE 
СЕЖЕ н 有 如 下 关系 .车 

С = (Eo š Aixa 
其 中 4= lairan: EoD INANE, MWA 

H = (A EG eos. 
校 验 矩 阵 可 用 来 纠正 错误 (2. 13. 2) 说 明正 确 传输 应 满足 的 等 
R. 如 若 г= He, e 是 误差 . 

Hr = НО + e)" = Н" + He" = He. 
车 He' 关 0， 可 由 He 看 出 究竟 第 几 位 出 了 错 给 予 纠正 ， 以 
101100 
110010 
011001 


r=100101 


0 
1 
1 
1 
ОТТЕ H SE pERS 2 列 ， 故 可 知 第 2 位 出 错 . 将 一 1 
00101 的 第 2 位 的 0 改 为 1， 故 得 


为 例 


Нг'=\|110010 


011001 


o-oodu 


iens 
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W=110101 
信息 位 为 1 1 0， 译 码 便 结 束 

当然 ， 若 出 现 两 个 以 上 的 错误 ， 这 种 方法 便 失 败 ， 也 就 是 
说 不 能 获得 正确 的 纠 错 ， 现 在 将 译 码 步骤 列 下 ， 设 收 到 的 信息 
为 

rr 

Sl: HH S=Hr'; 

S2: Ж $—0, 则 可 认为 传输 过 程 是 正确 揭 , 则 明文 mnn 
rs 5360 FE S3; 

53: E S 是 矩阵 豆 的 第 ; 列 , 则 认为 = 有 错误 ,予以 改正 . 
然后 取 前 面 的 ! 位 作为 明文 ! 若 $ 不 是 召 的 列 向 量 CERA 
零 ), 则 认为 传输 过 程 至 少 出 现 两 个 以 上 的 错误 ,无 法 正确 纠 错 . 
以 上 的 5 通常 叫 校正 子 . 


定理 2.1.3.3 (nD Xn 的 校 验 和 矩阵 能 正确 纠正 1 个 错 
误 的 充 要 条 件 是 召 的 各 列 为 不 相同 的 非 零 列 向 量 


这 个 定理 很 显然 ， 诈 明 由 读 考 自己 来 完成 

(4) 依据 EX 阶 和 矩阵 百 能 纠 一 个 错 的 充 要 条 件 是 百 矩 阵 
的 各 列 为 不 相同 欧 非 零 向 量 , 当 上 确定 后 ,m 最 大 可 取 2 一 1. 又 
因 4 一 “一 !， 故 :一 2 一 大 

AM, А3 if, ял=2—1=7, I=7—3=4 

例如 ， 
0111100 
1011010 
1101001 
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йч FT es. 


0 


吾 的 各 列 包 含 了 除 ° 

0 
1000011 
0100101 


0010110 
0001111 
用 这 种 办 法 构成 的 可 纠 一 个 错 的 码 称 为 (7, 4) 汉 明 (Ham- 
ming) 8. 
又 如 k—4Bf, n—2'—1—15, I=n—k=15—4=11 
也 可 以 构造 汉 明码 , 0,1 FERHE BON 11 的 明文 经 编码 得 
长 度 为 15 的 码 字 . 


THEE (15. 11) 的 汉 明码 的 校 验 矩 阵 . 
111000111011000 


_|[100110110110100 
010101101110010 
001011011110001 

从 校 验 矩 阵 不 难 求 得 对 应 的 生成 矩阵 G， 这 时 从 略 、 


以 外 的 所 有 状态 ， 对 应 的 生成 矩阵 为 


$14 ВСН 码 和 郭 巾 (Goppa) 码 


(1) ВСН 是 Bose, Chaudhari, Hocquenghem 的 缩写 . BCH 
码 是 他 们 三 人 于 1959 年 同时 发 明 的 .现在 假定 读者 对 有 限 域 
GF(p") 有 基本 的 了 解 

BE a ER СРО 的 本 元 元 素 , 满 足 * 十 a 十 1 二 0. 即 
mod(a* + а + 1) 构成 一 个 GF(21) BR. 4 
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l а а? а ө а'+ 
= (2.14.1 

1 а (d (my + (y 
由 于 =1, аа, ай, d, atm poa, mee, ааа, 
а =? —1-ba-E d^, =a a ah] +e, оой, ah 
аё 4-а — 1ана? a! аа-а? a mah а? a! —] ah bah 
а, d?’ =at +a а — La" Ed a! Sa bah pa! 1+0, a= 


афа =1. 


1а ёт а a а 
Hh e é e e 1 E 
用 下 列 矩 阵 来 表示 


100010011010111 
010011010111100 
901001101011110 
000100110101111 


H= (2.14.2) 
100011000110001 
000110001100011 
001010010100101 
011110111101111 

这 里 用 ` 


E 


0) 1 
1| [|o 
ol 1 
1 u 
分 别 表示 ааа, Tere a, RENER. 


EER h, ARRERA, WERF 
а 21 
“ЕЕ 
22 


ي 
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m=, x= pat 
= (а + а) (ah + at gat) 
= z (zt + а) 
aH et 
故 必 和 必 是 方程 
taet Beat] =0 
的 两 个 根 . 
车 z=zs 二 0， 则 认为 无 差错 , nu 
个 错误 发 生 在 第 4 位 . 
例 1 FERT. (AES. Ш 


十 


l 


оо 6 шо oo 
боо 5 5 c н 


1 


2.14.3) 


=a”, NUXA- 


И Жаза bd S] ph =a 
1 
z? + az + a = (z a a) = 0 


这 就 检 证 了 BCH 纠 错 是 正确 的 ， 


(2) 长 为 ”的 郭 粕 码 要 用 到 两 个 概念 , 一 是 系数 在 GE C) 
的 郭 粕 多 项 式 G(z); 另 一 个 是 GF (p") MEREGA) 天 0 一 


3352, 的 子 集 工 = (us). 


关于 СЕС) 的 任 一 向 量 a= (а, а, + 


函数 


+a), A-AA 
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R) = 5 PES (2.14.4) 


由 满足 
R.(z) == 0(modG(z)) 
的 所 有 向 量 a 构成 的 码 称 为 郭 帕 码 ， 用 广 (L, G) mz. X 
帕 码 的 校 验 矩 阵 不 难 求 得 . 
= в) Ge- =g 1 

—-—GG)G) + "GGG" ' 

= 1(mod GG) 
由 此 可 得 mod GC), (е — 8.) BJ , Bf 


(a — A) =— E Ес = 1 


所 以 a € P(L,G) 的 充 要 条 件 是 
"OG | 

， X. e 260) 

soo ше g € GF(p^), в, #0 WAF 


G — PDT + zt] eo P = s — Ë, 
k= 2,3, r 
G — Bog. G7! +z В + = + ESO 
TogaGU + z 8, o + FR) vx 
+m + В) +g] 
= g,G@ — B +278, + + ') 
+ g(a B)G7 + zB, + = + В?) 
+++ + gz — B.)(z + B.) + g,G — BR) 
= gz — В) + (С! Bn + =. 
+ eG! — B0 + gi — В) 
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GG = 0 (2.14.5) 


= Gle) — G) 
这 就 证 明了 
Со 6080 rs = ват ав + = + EDO 
TagaG + zB, + + 879) 
+= +g (z+ 8) + д 
根据 a € POL,G) 的 充 要 条 件 (2. 14.5), 
х Ў S Ос, уз 


1 


= Salar ++ =+ + ВГ!) 


Hga G+ rB b EDO + > 
+ gz + BO + eG)? 


= з 314607] 
ve ай, + 8-060237] 


а Sare? + кай + к 0007] 


тз 


+ Јав + в, Г? + + gD 


+ DalgB 十 B + ++ g0GQO = 0 

< 
us z, ө, т, 1 的 系数 分 别 等 于 0， 故 有 

ag, GRY + ag GOL) + + + ag E(B)" = 0 

a (В, + g- DG + alg. + g 6G)! 
Toca eg. + к, СОВ! = 

a (Big, + В, + ge G(R) + a (Big, + Йе) 

D 


26S) + n + a fog, + Bus 
+ gD)G(B) 一 


а (е, + Big rb gOG(A D 
+ al Brg, + Br ig, +" + ООСО! + n 
+ al Bg, Pg + ++ 60608) = 0 


写成 矩阵 形式 : 
gG o Е EG Q7 
Wieten) G G7 = Ваве) G (ВОЗ 


Gig. g. ig) G (f) n (Gig Egit G (В)! 


(Rg Big) G (Gon! (R jg + е) G (8) "1 


“ 
X ja; |=0 
或 写作 
Ha =0 
ЖОН 为 校 验 矩阵 ， 而 且 有 
geo - po 
{Bigr + g 000! k: Gg. + gr- DGA 


(Big, + Furio 06D! = (Big, + Bagri e 0607! 


CAT gy + Bog tos B ROGO nO Ege Ë tg. ++ + OG! 
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кав o ol A A D 
TÉ 5-1 g рй ^ а 
LI AC RU rz 
© (Qu 
© (B7 o 
x G у =LAR 
0 
G фу! 
其 中 
Е, 0 0 
£a & 0 0 
L-|£- £a E. 0 
8 # 8: Е, 


& А А o hb 
А=\й B OB oe @ 


AC BD RS Rn 
GG" 


к= GG" о 
0 . 


GG 
由 于 工 是 可 道 矩 阵 ， 故 可 取 AR 作为 校 验 矩阵 . 
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GG" GED? = СВ) 
AGO AGAD? = BGY? 
BOGOT Pi GAD ++ Bs GO 
FARRER. ` 

Goppa 码 是 线性 码 . 码 字 长 n, 码 间 最 短 距 离 4 之 r 十 1,r 是 
GD 的 次 方 . 明文 的 长 度 1 22 n — mr. 
例 2 到 G(z) 二 zx? 十 xz 十 1 
L = GF(2™ = (0,1,8, P, b) 
p=2, p—21'-8. ШОКЕ EH p (ш) =z b xl. B 
是 GF (25 的 生成 元 素 ， 可 以 证 明 工 中 的 元 素 均 满足 
G(8.)=0. 
B=B8+1, #=8+# 
=+ =1+8+8 
F-BRCBrP-ILEPB. #=8-+{#=1 
P=B 
PRR | 二 进 制 表示 | 多 项 式 表示 


Ы = AR 


С (z) =z*+=+1 
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G (0 =1 
G (GD =1 

G (0) = 8+1=0 

G (f) =#'+8'+1=1+8=f# 

G (9) —={+#+1=1-+ {#+1+8++1=1+8+{#= 


G (90 一 座 十 所 十 1 一 8 十 有 十 序 十 1 一 1 十 序 一 序 
G В) = B" EcL = EL BH EHE 
一 1 十 8 十 1 十 8 十 序 十 1 一 序 


G (8) = 4-1 = 484-1 
ВВ 
=1+8=@ 

g- 

313113111 
y- 1 Ë Ë Ë УР 
o 1 ñ # Ë P в в 
1 1 £ Ë # Ë É Р 
Пра е p PP 
o 1 Pp p тр 
11000000 
00010111 
00111001 
01111111 
00101101 
00011110 
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$15 基于 编码 的 公 钥 密码 


RAEN (McEliece) + 1978 年 提出 一 种 利用 郭 帕 码 构造 
公 钥 密码 的 方案 EUR SERE с 个 错误 . 明文 为 位 的 0, 1 
RGP, 设 m=mm mi 
生成 矩阵 G = (Eo А) 
其 中 吾 wm 为 ! 阶 单位 矩阵 , 所 以 郭 帕 码 将 : 位 明文 变换 为 ”位 的 
BF, PFM 位 是 明文 ， 后 面 "一 ! 位 是 校 验 位 . 
л 位 


TE nik 
RP a= 2 用户 4 构造 HARE a хп, MERER GC 用 
P 4 随机 选 一 个 4Xis 阶 非 奇异 矩阵 S, B na X na 的 排列 矩 
BEP, d 
Gi =S4GaP» 
HP АЖ ОЗ SF, HH Sa Ga 和 P, 保密 . 
若 用 户 妃 要 向 4 EXE mm Hl BH 0,1 FFB. 
MERKE: 
c—mGi +e 
e 是 权 小 于 等 于 sa 由 发 方 随机 选取 的 二 维 向 量 , 
解密 算法 是 先 作 
cPa'~mSaGaPaPaltePa'= (mS,) С,+еРу! 
由 于 ePi л, 故 郭 帕 码 能 够 恢复 я5,, 进而 对 mx.54 ДЖ 
以 S42， 便 得 到 明文 m. 
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对 默 克 尼斯 公 钥 体制 最 有 效 的 攻击 方法 是 码 译 者 从 密 文 < 
ELTIR, b QUÉ 1 比特 分 量 构成 的 向 量 为 Ci, G: С" 
中 相对 应 的 : 列 组 成 的 矩阵 ，e: 为 e 中 相应 的 :位 组 成 的 向 量 ， 
则 

C,=mG? +e, 
# GF ufu. W (C, + e0(G? 07 = m. #e=0, RJ 
m = CG' )^ 
因此 求 得 m. OREREBE UAR (TAY e — 0 的 概率 POS. 
amt n 


f [| vor жештен» o , MTR m 


Xf LAEBT S Pp, 以 默 克 尼斯 建议 的 "一 1024 一 20,t 一 50， 
Гает ть 1024 —50X 10-524, 破译 的 工作 因子 大 约 为 29 7 
1. 96 X 10%. 

默 克 尼 斯 公 钥 体 制 的 优点 在 于 加 解密 算法 简单 决 速 ， 比 
RSA 公 锚 体制 快 得 多 ,安全 性 也 很 高 , 但 公 钥 量 太 大 . FAN 
经 计算 出 :=37 时 , 1-654, 这 时 安全 性 达到 最 高 , 工作 因子 为 
2% <“2.07X105， 公 铀 量 达 6X105 比特 . . 


$16 概率 加 密 


以 前 讨论 的 公 钥 密码 系统 ， 当 密 钥 确定 之 后 ， 明 文 和 密 文 
对 应 关系 是 确定 的 ， 所 以 叫做 确定 型 公 角 密码 系统 ， 公 和 钥 密码 
系统 多 少 会 给 敌人 提供 若干 信息 ,特别 是 在 明文 空间 不 十 分 大 
Bj. . 
(121982 年 , 勾 德 哇塞 (Goldwasser) 和 密 卡 里 (Micali) 提 出 
了 概率 加 密 的 概念 . 
“733- 


Е |Z] 表示 < (mod л) 的 雅 科比 
Jacobi) FF, В n= ppp, ЖОР p 是 素数 ， 则 
a) 2 а aj“ 
=f P: E 
(到 叫做 a (mod р 的 勒 让 德 (Legendre) 符号 BJ 
| | | l pta Жад p Р 
ا‎ 


0 bia. 
一 1 Pe Fa 不 是 模 户 的 平方 剩余 


Z; А\х|\ї\&х<яп, (z, n) =1} 
242 ij] 
1, # = JE mod x 的 平方 剩余 . 
awal Ë z RE mod n 的 平方 剩余. 
n 是 素数 ,或 已 知 所 有 n HAR, ЖО, (z) 不 难 ， 否 则 是 很 
困难 的 . 
勾 德 哇塞 和 密 卡 里 的 概率 加 密 公 和 钥 系统 如 下 : 
(a) 每 一 用 户 ( 设 为 Ay 给 定安 全 参数 上 ( 正 偶数 ) ,并 随机 选 
取 两 个 不 同 的 素数 p 和 4,|p| = lgl = &/2. 
(b) 令 n= рд. 
(с) Ж y&Z,. 不 是 模 的 平方 剩余 ， BPH (а, у) A 
F, dB p, o 保密. 
RAP BEH ARREA т, 
m= munam mE (0, 1} 
WEFR: 
S1; X iml. 2, =, 1, WIT 53—532 
S2: 随机 取 z€ Z2, 
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S3, E m=1, NG e=r (mod п). Ж, $ 
e, = z*y(mod л) 

S4; B HE eo 传送 给 A. 
显然 mr 的 密 文 不 再 是 确定 的 ,而 依赖 于 工 的 选取 . WEFR: А 
KIE X cerre RE: 

SV, i=l, 2, е, 执行 52'; 

S2':m = Qle.) š 

S3'; 得 明文 m mimi mi. 

THIEN FE Н) ЖАК u s Eo ФЕ, {НЕЧЕНИ 
HERH k, BB 1 个 比特 的 明文 对 应 于 个 比特 的 密 文 , 所 以 实际 
上 它 是 不 能 接受 的 、 

(2) L- FEE, M + Fk, М* RH (L. Blum, M. Blum, 
M. Shub) 等 人 提出 另 一 种 概率 加 密 算 法 , WMF: E e. a 是 一 
HERARN, |р|=|д1=4/2, p=q==3 (mod 4) XX FERS RU 
称 为 布 隆 数 . 

Ф onc ppm = mmm € {0,1} 为 明文 ,加 密 过 程 是 

Sl: ШИЖ х € Z: ; 

S2: 令 z, = z’ (mod n); 
12, AR Si— 5s 3 
j == zi, qnod n) ; 

S5. = z; ME ; 

S6; zi = xf (mod n) ; 

S7; SEX EON) = (n 6x Eb Б-Ы, 

QAM 2 d. 

解密 过 程 , 由 z+, 逐次 恢复 nensem BH 23848 b = 
bbb, 5 EG) В ЗЕЕ ER и m. HG HE cio 
1+*®Л, 
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$17 索 数 的 概率 判定 法 


《1) 关于 素数 的 研究 已 有 相当 长 的 访 史 ， 只 是 由 于 近代 密 
码 学 的 研究 才 给 它 注入 了 新 的 动力 ， 提 出 了 新 的 课题 ， 其 中 重 
要 的 一 个 是 素数 的 判定 ， 当 然 还 有 大 数 的 因子 分 解 ， 近 年 来 在 
这 些 方面 都 有 新 的 进展 ， 在 这 里 进行 详细 讨论 是 不 可 能 的 ， 它 
需要 很 多 数论 的 基础 . 
下 面 将 介绍 实用 的 概率 测试 算法 . 
在 进行 测试 之 前 必须 将 合 数 过 滤 掉 ， 特 别 是 大 素数 分 布 具 
有 稀 琶 的 特点 ， 所 以 过 滤 显 得 十 分 重要 .关于 素数 分 布 有 一 个 
重要 的 定理 . 
定理 2.17.1 É x(x) 为 小 于 或 等 于 x 的 全 部 素数 个 数 , 则 
iar fpei 
从 这 个 定理 可 知 z 充分 大 时 
Gn) == ES ‚ 
利用 这 个 公式 可 以 估计 在 109-10 —1 这 一 区 间 上 素数 的 个 
ЗК. Bi 100 位 10 进 制 数 中 素数 个 数 N. 


. 


10" 109 1097 0% 
N^inig* 11109 00ln10 9910 
- Ex S- ijs 9,10” 
= Ini01100 98} “1001210 
100 位 10 进 制 数 的 个 数 为 


109—109 124109 [10 一 1] ==9 - 10” 
B 100 fi 10 AW RF Rn 
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一 般 可 证 位 10 进 制 数 中 素数 的 密度 当 充分 大 时 约 为 
ыу 素数 的 稳 玻 性 从 此 可 知 .一 般 说 来 判定 一 个 数 是 素 孝 比 


较 难 , 而 和 否定 它 是 素数 要 容易 得 多 .比如 偶 素 数 只 有 2 这 一 个 ， 
故 锡 数 应 排除 同样 最 后 一 位 为 5 的 数 也 不 是 素数 . 我们 希望 
有 一 个 简便 而 有 效 的 算法 能 将 大 量 合 数 “淘汰 ”出 去 ， 对 余下 
的 数 再 进行 素数 判定 ， 好 在 素 教 的 研究 在 数论 中 是 比较 成 熟 的 
Ж. . 
对 素数 判断 有 一 个 充 要 条 件 , 叫做 威尔逊 《Wilson) 定理 ， 
定理 2. 17. 2 =” 是 素数 的 充 要 条 件 是 
(n — 1)! =— 1(mod я) 

WA: (1) Ж. 

п 是 素数 ， 所 以 在 (1, 2, =, a—1) 中 每 一 个 元 素 a 都 有 
90а, 使 得 ce = 1(mod п), B 1 ffl n—1 这 两 个 数 它 
的 逆 元 素 为 自身 外 ， 即 

1*1 =1(mod n), (m — 1) + (n — D = (mod a) 
RE n—3 Ф, aHa, BRI HE aa =1 (mod n). 
(п — 1)! = (л — 1) =— 1(mod я). 

《2) 充分 性 ”用 反 证 法 . | 

设 ЖЁЖЖ.1йл=а+5.ҢЧа,5В:> 1. al (n — DIR] 
HESS a| [Or — DI + E al [r — DI + L — @ — DI, 
但 [Gx 一 D5 十 本 一 人 一 1 一 1，, 这 跟 a>1l 的 假设 巴 盾 : 这 
就 证 明了 ”是 素数 ， 证 毕 ， 

(2》 威 尔 还 定理 给 出 判定 素数 的 充 要 条 件 ， 有 很 高 的 理论 
价值 . 

关于 素数 还 有 一 个 费 尔 玛 (Fermat) 定 理 ， 此 定理 给 出 素数 
请 的 必要 条 件 , 若 不 满足 ， TWEE TERN. 
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定理 是 这 样 的 : 车 p 是 素数 ， 则 对 于 任意 的 整数 a， 应 有 
а? '=] (mod p). 

下 面 介绍 的 勒 宾 (Rabin) 素数 概率 测试 法 实际 上 是 基于 费 
尔 玛 定理 .当然 满足 费 尔 玛 定理 的 数 p 不 能 判定 它 是 素数 , 但 
不 满足 这 定理 的 数 疡 肯定 不 是 素数 ， 玛 此 ， 它 可 以 起 到 过 滤 作 
HB. 

Ф п-1=2т, Kl ИЗЕЛ И. т EFTA. Fi = 
1(mod 2) zi 5*7 =— 1(mod п),0 < j SI 一 1， 则 称 n 通 过 以 
b HERRE Miller) 测试 . 

定理 2.17.3 若是 素数 , 5 是正 整数 , Erb, 则 必然 


通过 以 5 为 基 的 密 勒 测试 . 
证 : 令 
S, = 6*7" (mod n) = B“ "(mod n) 
k=l, L, = 2,1,0 


ЖИР 5, = "(mod n), S, = 2 (mod я) 
若是 素数 ， 则 由 费 尔 玛 定理 说 明 S, = 67! = 1(mod n) 必然 
成 立 ， 它 的 必然 结果 是 

Si 二 58" 二 1(mod n) Ef S, =— 1(mod я) 
必然 成 立 . MH S, = 1(mod n) i S, =— 1(mod n) ЗЕТ, 8 
尔 玛 定理 必然 成 立 . 因 S, = Si = 1(mod п). BERE S, = 
1(mod п) 或 5; 三 一 1mod n), fl S, = 1(mod n) ,因而 满足 费 


KE EE. 
依 此 类 推 , 若 已 知 
Sa, = (mod n) 或 Sy, =— l(mod n) 
则 S = Si = “= 5, = 1(mod л), 
即 费 尔 玛 定理 成 立 . 


定理 说 明 密 勒 测试 一 旦 通过 ， 竟 尔 玛 定理 便 可 满足 ， 在 计 
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# 5 的 过 程 中 ， 从 ==1， 1—1, 1—2, =, 2, 1, O 依 此 进行 ， 
最 终 为 Se BIOS Б (nod п). 

TREE ӨЙ, ГРЭС ИЮ В, REN 
баени. | 

定理 2.17.4 若是 奇 台数 , B| п EA o OS GENS RUN 
XS 5 HEB EZAC D/4 Ma bn 7 1. 

基于 上 述 两 个 定理 ， 若 ”是正 整数 ， 选 上 个 小 于 ”的 正 整 
Jt DUX ACIDS ABER URS, Bo 是 合 数 ,大 次 测试 全 
部 通过 的 概率 为 | 十 | 

Hán &—100, » 是 合 数 ， 但 测试 全 部 通过 的 概率 为 7 二 一 
6.221075, 这 是 很 小 的 数 , 说 明 这 样 的 事情 几乎 不 可 能 发 生 - 


$18 科 尔 一 列 维 斯 特 (Chor-Rivest) 
背包 公 钥 密码 系统 


CD 班 利 * 科 尔 Benny Chor) 和 罗 纳 德 。 列 维 斯 特 
(Ronald L. Rivest) 于 1985 4E t 3€ —45 44 I| ^A Knapsack Type 
Public Key Cryptosystem Based on Arithmetic in Finite 
Fields” 的 文章 中 提出 一 种 新 型 的 背包 公 钥 系统 , 以 前 的 低 密度 
攻击 法 对 于 它 失去 了 作用 . 

背包 问题 的 解 不 仅 困难 ， 还 可 能 不 唯一 ， 但 超 递 增 序列 的 
背包 问题 没有 这 问题 ， 科 尔 一 列 维 斯 特 背 包公 铀 系统 与 之 相应 
的 依据 是 布 斯 一 分 拉 定理 ,定理 如 下 ;: 

定理 ( 布 斯 一 分 拉 ， Bose-Chowla)” 设 是 素数 , 是 不 
低 于 2 的 整数 ， 则 存在 序列 

A= (4101, аЄ2) 
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使 得 (a) ISaSp ~1, i=0, 1, 2, е, р—1 
(b) €= Ges tmp (yo у, се, yo 是 两 个 坐 


i 
== Уул 

“ = 

则 
4i ri 
Dai Ma 
< = 

成 立 . 


证 : 证 明 是 构造 出 序列 A. 

通过 选择 素数 p RE СЕО) 域 上 不 可 化 约 多 项 式 1(z)， 
HEIR СРС), Wt € GF(p"), 且 是 GF (p) 域 上 a 次 最 小 多 项 
式 的 根 , 又 设 g € GF(p") Æ GF) 上 乘法 群 的 母 元 素 . 

t + GF(D) = (+i € СЕС) = 0,1,2,, — 1) 

显然 t + GFO) C GFOP) 

设 

а, = log,G +i), i= 0,1,2 ep — 1 Я 

则 ба, ОДЕ ТАО. RN z 是 GK(p") 的 乘法 群 的 母 元 
素 ， 所 以 g 有 妃 一 1 个 不 同 指数 ， 故 a, 的 全 体 都 在 [1， 
名 一 区 间 上 . 

由 于 (шәл, ул) B Oni, 是 两 个 坐标 为 非 
负 整 数 的 不 同 向 量 ， 而 且 Ух, У) < n. 


=: ГЕ 

ж Manu 
m E 

则 ge = gyon 
Пе“ = Пе» 
: ; 
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但 “=+: 
GG ще (t + GU 
= @+ jonG je + jO”: 
EP Goien ы BIG nO BRE 00.1... — 1) fd 
空 集合 ， 由 于 
Уул = Ума 


帮 每 个 集合 至 多 п 个 元 素 . 
由 于 向 量 ёт, ВТ 
Te +» 一 Де+» + 


Б! 


是 系数 在 GF (上 的 非 零 多 项 式 ， 而 且 次 方 委 n 一 1. 首次 系数 
为 1 相 消 , 故 至 少 降 1 次 方 . 这 跟 假 定 : 是 GF(p) 上 是 次 最 小 
多 项 式 的 根 的 假定 相 矛 盾 . 

CD 建立 科 一 列 密码 系统 的 第 一 步 是 挑选 p 和 mw， 进 而 在 
GF(p") 上 选取 次 方 为 n 的 :EGF(p") 和 gEGF(p"). tA gW 
选择 有 较 大 的 自由 度 . 根据 布 斯 一 争 拉 定理 计算 GF GO +: 中 
户 个 元 素 以 g 为 底 的 对 数 , 现 将 密码 系统 产生 的 过 程 叙述 如 下 ， 

(a) ЖИ p REN np. SERRE GF (9D 中 的 离散 对 
数 能 有 效 地 计算 . 

(b) 通过 选择 在 GF(p) 上 不 可 化 约 的 次 多 项 式 ICz) 构 
造 GF(p"), 也 就 是 由 mod I(r) 来 表示 GFO). 

Ce) 随机 选择 + € GFN 使 得 :是 GF(p) E 次 极 小 多 项 
suni. 

(d) 随机 选择 g € GFO ,要 求 它 是 GF(p") 的 乘法 群 的 
uo. 

' (e) 计算 a = log GE D, im 0,2, 1 
(D 随机 选择 一 p 个 元 素 的 置换 x*， 使 得 
«1 


F: hano. i=0, 1, 95 р—1 
(g) 选 一 随机 数 d, Очар —2, % 
¿=b d, i=0, 1, 2, +, р—1 


(QD Жоу су, ca crm сад p. п Ж. 
Gt, gs m d RE. 
加 密 算法 : 


科 尔 一 列 维 斯 特 系 统 适合 于 对 权 正 好 为 x 的 p 位 0,1 字 符 
串 明文 抉 进行 加 密 ， 因 此 首先 要 建立 表达 [0, c (р, 0] PE 
数 的 位 串 到 长 度 p. Bon 的 块 变换 . 
对 权 的 位 囊 m 加密 如 下 : 
Е(т) = с + c, +e c (mod G^ — 1)) 
其 中 hm io се, š Ea Tl AEE. 
解密 算法 : 
ба) 4 ri) gr (od 1(2)),r(4) 是 方 次 所 4 一 1 的 多 项 式 . 
Ф) ige = En) FF ¢ = c — ndGnod (p — 1)) 
(c) 计算 pG) = g^ (той 100), рО) 为 5 的 nz 一 1 次 方 的 多 
项 式 . 
(dD FF dC) = n + pG) ra) da) 是 系数 在 GF(p) 上 
上 的 次 多 项 式 . 
(e) 将 dG) 因子 分 解 得 
аа) = (GF iG + it Fi) 
这 是 因为 
کے‎ -SEE 
= z "ze dg 
= gg eg. 
ан, b, êt + GEO 中 某 些 元 素 的 离散 对 数 , 所 以 考虑 de) 是 
些 线性 因子 的 积 . 
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ta Td 


D 通过 置换 找到 = 个 根 已， 由 < 找到 原来 为 1 的 坐标 . 
《3) 举例 取 z 一 5,m 一 3. 不 可 化 约 的 多 项 式 Tz) 一 十 z 
十 1, 在 GEF(53) 域 上 有 
好 一 一 X 一 1 
و و‎ 
و ےس کا ستو‎ 1 
219 (—х*+ех-+Е1)#=л*—24*—х*+Е2х+1 
一 z 十 2z 十 2 一 妇 十 2z 十 1 一 一 2z2 十 3z 十 3 
z5— (2a! +a -3) a! bz 1) = 22-98243 
一 2x? 一 2z 一 2x? 十 x 十 3 二 x 一 x 十 3 
xz 一 (一 2z2 十 3z 十 3)2 一 4z4 一 223 一 3z2 十 3z 十 4 
——Axz —Azd 2zd-2— 3a! - 32-4 
=—2z'—4z+1 
Ta 一 (一 2z2 十 3z 十 3)(--2z2 一 4z 十 ]) 
=4 225—202? — 93-3 
——Ax!—4x—2r—2—424-8 
=+] 
а= (+1 ar) 
一 妇 十 z 十 z 十 1 一 天 一 一 工 十 1 
一 十 z 一 一 1 十 z 一 一 1 
A =] 
4 8 一 2z2 十 z 十 2 
в? = (2r E x2)! — Hr HAr E Az? -Az 4 
= m4r — Ax Az — 442? F And 4 
一 一 4z 一 工 
故 有 а= р gt] 
=i, 


7 


Xr و‎ ar 
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g^-]. 
gg" + gt=—z'=z+1 
g” =g" gh GdDG 3) 
一 好 十 2r 十 3 一 一 一 1 十 2z 十 3 一 z 十 2 
gg + "= — (1) Сазе) 
24—32° — 321= — 22! — 23-b 8xd-3— 84* 
一 z 十 3 
gig? g!i GE Da Qa? ba 2D 
=G+2)(—z +r +1) (2r zb 2) 
= (а? 32) Qa n2) 
= (а 4r 3) zd 2) 
三 一 2z! 十 7 十 3z? 十 x 十 1 
一 27 十 2r 一 2z 一 2 十 3r: 十 z 十 1 一 z 一 1 一 z 十 4 


E] gazl, к"==+2 

c3. g'—ra 
令 4,768, а:=98, as 一 86， a,—100 
令 b=98, b,=109, b:=2, b=68, b=86 


co 一 109， £c,—120, c=13, cs 一 79， ci 一 97 
对 于 =10101， Е(т)=109+13497=219=с 
186 ` 


=g" + z 
=(*'+1)ж=л?'+х=—х—1+х=—1. 
Hitit] sr Hral tl) =r) 


=ar +3) (+2) 


故 
z(z+2)(z+3)—g'g'g—ghghgh 
故 解密 得 明文 m—10101. 
-le 


又 如 b=86, b=109, 5==68, b=2, Б,==98 
co 一 98， ci=121, c;=80, са=14, cs 一 110 
ER m-—11001 
с=Е(т) =98+121+110= 329 
с'==329—36=293 
g’ = “ی‎ =g g= r go (225 Az lag 
一 (一 2 一 4r3 十 22)(2z2 十 工 十 2 
一 (2z2? 十 27 十 4r 十 4 十 z2)(2x2 十 工 十 2) 
= (3х'+х+4)(2х'+х+2) 
二 ZT! 十 Tf 十 3 二 一 xz 一 tf 十 X 十 3 二 z? 十 3 
а + ++ 4= (2—1) (x 一 2)(z 一 3) 
= (2+2 2+3 r+) =g" gg" 
—ghghgh 
A о m—i1001 


$19 离散 对 数 问题 


在 第 2 章 $2 PURI T ER e kr a (mod x) 的 算法 , 它 

的 反问 题 是 已 知 y=x (mod DR х RHR г. 我 们 称 这 反问 题 
为 离散 对 数 ， 求 离散 对 数 并 非 易 事 ， 密 码 学 中 有 许多 办 法 就 是 
利用 它 的 困难 性 、 例 如 狄 非 一 赫 尔 晶 公 铀 系统 便 是 一 例 、 用 户 
А 可 以 随机 地 选取 na, Ies p—2, HH: 

ka = a'a (mod p) 
将 & 公开 但 ma 保密 ,这 便 是 基于 求 离散 对 数 的 困难 . H P: B dk 
与 4 通信 ， 他 们 的 通信 密 争 

kas = (ЬУ (той p) = а^ (той p) 
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= (6) (тоа p) 
OD 在 介绍 求 离散 对 数 的 算法 之 前 ， 先 讨论 有 名 的 中 国 剩 
REE. вр. 
CA mis та, +, m 是 两 两 互 素 的 正 整 数 , 则 同 余 方 程 且 
z—a, (mod m), i=1, 2, +, k, тт, ет fp RE. 
киир. $ 


M = П», = тет, 
кА 


M, = M/m, = 
Fr WME 
M,y,=1 (mod m), ј=1, 2, =, Ë 


EFM md = y, 存在 ,不 难 证 明 
z= Miya My +a Miy: (mod M) 
便 是 问题 的 解 ， 耐 且 是 唯一 的 . 
例 
三 lt (mod 2), x=2 (mod 3) 
X=3 (тоа 5), х=з5 (mod 7) 
M-2*3*5*7—210, 
M—105.  M,—70,  M,—42, М,=30. 
My = 1(mod 2), у =1 
Miy = 1 (mod 3), y, =1 
My, = 1(той 5), у; = 3 
М.у = 1(той 7), y, = 
= о252105 2 X 70 + 3 X 42 х3 5 X 30 
X 4(mod 210) 
= 173 
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(2) 下 面 介绍 波 湿 格 一 赫 尔 最 《Pohlig-Hellman) 求 离散 对 
数 的 方法 , 已 知 z 和 yy 都 是 正 整 数 , 且 xz 是 GF(p) 域 上 的 本 原 
元 素 ， 求 正 整数 +-， 满 足 

y==z' (mod n) (2.19.1) 
Ба ARR А. EL p 一 1 只 有 小 素数 因子 . 
设 
ъ= РР рр n0, 1<;< 
根据 中 国 剩余 定理 ， 只 要 能 确定 
rr (mod p) I&i 
则 7 便 能 求 得 . FEHER r 的 方法 . DDR nb R noon 
…， 产 类 似 可 求 得 . 
ж 
M. = (р = D/pr, i-i 
Му, = 1(mod рд), i= 1,2,6, 
则 
= Мут Мау Fra My 
Ж 
x Dn = (an) ^ (mod р) 
(ait nM nMn y0 (mod p 
= (дз у aM OD eae Cz) 07 (mod p) 
HF My == 1(mod pt), My, = Ари 1 
Д FDA = (an Pp) 97 D/5 (mod p) 
mean yen (an) 77/5 (mod p) 
由 于 z^ = (od р) 

Л (ann) =D кш (ar) 07h (mod p 

另 一 方面 如 1ad = 2,8, e j Z В, 
бан) У = (доу а= р (mod p) 
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所 以 
ا‎ = (zr yt Ih = (an) Ph (mod р) 
VO yel ше (дї у# Qnod p) (2.19.2) 
n = rs + rubi rapi +e + ne copi 
OLAT j=12 nm l. 
Ao 7 = ш? 1P (mod p) (2.19.3) 
比较 等 号 两 并 可 以 多 全 mo, 但 
7o = ath nir re cor 


И 


#4 


У = ya 
则 有 
(ya e) A = (MPD) Cr ) (алоо DA 3) 
= (ze Dh yn (mod р) (2.19.4) 
由 《2. 19 等 号 两 端 可 以 确定 ns 类似 理由 令 
ж = yup uh 


(э-э = ato Di 
由 上 式 可 确定 nu 依 此 奖 推 可 求 得 noora- 为 了 计算 方 
便 起 见 , 令 有 = x^ ,预先 计算 B, te Buc 

(3) З. p—8101, z=6, y—7833. Rr EZ WE 

y=r (mod p) 

8101 一 6X1350 十 1 

6(— 1350) =1 (той 8101) 

67! = 6751 (mod 8101) 
ЖР д2 有 

В,526"9%/2:64%:8100 (mod 8101) 
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ñ | Ж 
81001 1 
HF a=, A 
B, = 60 — 6n%==5883 (mod 8101) 
k| ë | Ë 
5883|2217| 1 
对 于 ps 一 5， 有 
f,756519/522605—3547 (mod 8101) 
һд (даа 
3547 | 356 | 7077 | 5221 | 1 
М,уу=1 (mod 4), М, = 3*5 = 1215 


М, 0 (mod 3°), М.у, = 2025(mod 8101) 
Myı=0 (mod 5°), 
May, = 0(mod 22), M, = 225° = 100 
May, = 1(mod 3°), М.у = 6400(mod 8101) 
М.у, = 0(mod 5°), 
Mays = 0(mod 2), M, = 223 = 324 
My, = 0(mod 3°), Msy = 7776(mod 8101) 
Msys = 1(mod 5°), 
(a p =2, m2 
у = 7838, ر‎ = 0 
Aor l, y = ا‎ = 5856 
(iD! = 1(mod 8101) 
即 rı =o 
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d n=l 
Cb) h=, m= 

у = 7833, ر‎ = 8100, ra 一 2 
7876(mod 8101) 
593(mod 8101) 
= 2217 (mod 8101) 


у= ул, 6? 
> = 7833 x 7876 = 
Gy)? = (3592 


^ ra = 2 
у = yir == 3593 X 7482(mod 8101) 
== 3708 
Cy. — (3708)' == 5883(mod 8101) 
то = 1 
Ул = ум + 3708 X 2960 == 6926(mod 8101) 


(ym = (6926)'% = 5883(тпой 8101) 
Мо ra=1 
S o rn=2+2X3 +3 +3 = 4 
(OR-5, m=2 
y= 7833, ر‎ ча (7833)? = 356 (mod 8101) 
r =2 
у = ر‎ š = 7833 X 7876 = 3593 
Cy)" = 356(mod 8101) 


ra =2 
m = 2+2 X 5 = 12 
由 中 国 剩余 定理 可 得 


r= rM. + Мау + r,M.y, Hn 
r = 2025 + 44 X 6400 + 12 X 7776 = 376937 
== 4337 (тоа 8101) 
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当然 波 涅 格 一 赫 尔 曼 方 法 建立 在 p 一 1 可 以 因子 分 解 成 
prore рр RME. WREE po po се, p 都 是 小 素数 时 
才 可 能 . 


$20 ”关于 公 钥 密码 的 几 点 补充 
及 密 钥 分 存 问题 


公 负 密码 的 思想 无 疑 是 先进 的 ， 但 时 间 不 长 ， 还 没有 一 个 
足够 可 举 的 公 铀 系统 可 供 使 用 . RSA 昌 然 很 有 希望, 但 处 理 200 
їй 10 进 制 数 的 等 运算 效率 较 低 , 公 钥 密码 由 于 要 将 相当 大 一 部 
分 关于 密码 的 信息 予以 公开 ， 它 势必 对 系统 产生 影响 ， 为 此 要 
付出 代价 来 补偿 . 

公 锅 一 出 现 便 显示 出 它 的 优势 ， 有 一 种 员 遇 带 人 取而代之 
的 架势 ， 实 际 上 公 乌 还 在 发 展 中 ， 它 和 传统 密码 学 构成 近代 密 
码 学 的 不 可 分 割 的 组 成 部 分 ， 下 而 介绍 将 两 者 结合 起 来 取 长 补 
短 的 一 条 蹊 径 ， 

G) 假定 存在 一 通信 网 络 系统 ， 这 个 系统 有 一 密 钼 分 配 中 
心 KDC (Key Distribution Center), 它 专门 负责 管理 通信 密 钥 , 
每 一 用 户 都 在 KDC 存 有 各 自 的 密 钥 . KER REH kaska 
都 用 只 有 KDC 掌握 的 密 铜 予 以 加 密 后 保存 车 用 户 A 欲 和 用 
P BERBA IU 4 KDC 提出 申请 ， 为 此 送 去 信息 (4, 
B). KDC 便 随 机 地 产生 一 通信 和 密 铀 ,用 4 和 B HR ka 和 
ka 加 密 得 k GD ,bal&) 并 送 给 A, A 收 到 后 将 k(O B, E 
钥 分 配 完 毕 ， 通 信 便 可 开始 ， 这 个 过 程 如 图 2. 20. 1 所 示 . 

在 这 个 系统 中 KDC 是 核心 , 它 必须 保证 绝对 安全 , 通过 它 
利用 传统 密码 建立 起 公 乌 密码 、 一 切 通信 都 要 通过 KDC. 但 当 
系统 较 大 时 不 胜 其 繁 ， 也 是 一 血 . 
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(2) 混合 密码 体制 . 
公 铀 的 长 处 在 于 密 钥 管理 方便 ， 但 效率 低 ， 公 铀 之 短 正 好 
是 传统 密码 的 长 处 ， 反 之 亦 然 ， 如 何 取长补短 建立 起 有 效 的 公 
名 系统 便 是 混合 密码 研究 的 核 必 思想 ， 嗓 通过 公 和 锁 传 送 通信 密 
钥 ， 然 后 通过 传统 密码 加 密 ， 以 之 达到 保密 通信 和 的 目的 . 
公 钥 密码 还 有 一 个 不 足 之 处 ， 即 车 公 钥 文件 被 血 改 ， 则 公 
钥 将 被 攻破 , 沙 米尔 建议 以 用 户 的 身份 (如 姓名 ,性 别 等 ) 作 为 公 
钥 来 克 腿 这 个 缺点 ， 这 样 公 钥 便 一 成 不 变 ， 这 种 方案 也 有 其 缺 
陷 . 下面 介绍 一 种 秘密 身份 的 验证 方案 以 保证 公 钥 的 完整 性 , 系 
统 由 两 个 公 钥 系 统 组 成 , 它们 的 加 密 算法 分 别 是 E, 和 Es, 解密 
算法 分 别 为 D, 和 Pa. E, 和 E, 公开 ,但 Р, р, 保密 , ШАА 
有 
EX ‘ Y) = Е(Х) EO) 
D(X + Y) = D(X) ° D. ¿= 1,2 
显然 RSA 具有 这 种 特性 . “。” 是 乘法 运算 - 
RUP A 进入 系统 时 向 KDC 提供 自己 的 身份 za 及 公开 的 
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MERA ka КОС 计算 
S = Di(14) 
Ta = Ю,(Е,(®,)) 
a $4 * T, 
H, 称 为 4 的 秘密 身份 . KDC Ca, ka, Н) 列 和 人 公 钥 文件 
予以 公布 . 到 此 KDC 的 任务 便 告 结束 , 对 以 后 的 通信 不 进行 二 
预 .这 是 本 系统 的 特点 ，4 KD p 通信 时 ， 可 查 得 BHAA 
Uas Ep, Нь). BV 
Е,(НЬ)/Е,(Ёһ) = 15 
din-n. MJ B 的 公 钢 是 完整 的 . 
攻击 者 若 改 ka Ж ki. CAWR Hi. E 
E (Hi )/E ki) = Is 
‚ H; = Dıla EG 
这 只 有 掌握 D, 才能 做 到 . 而 只 有 KDC 有 此 可 能 . 反之 , 攻 
击 者 车 先 给 出 H; ， 以 此 来 确定 如， 使 
E (Hi )/E Ф) = Is 
即 k; = D,CE,(H;)/1,) 
这 也 是 不 可 能 做 到 的 .因为 只 有 KDC 掌握 р, 和 D, 两 种 
яж. 
(3) 密 钥 分 存 问题 . 
若 有 6 位 科学 工作 者 从 事 一 项 绝密 研究 ， 为 了 安全 起 见 必 
需 4 位 合作 者 到 场 方 可 开门 ， 这 样 可 以 避免 由 某 一 位 丢失 钥匙 


而 造成 严重 事故 , Жара EMG 风琴 要 | | 一 20 dif. 即 6 
人 中 任意 3 人 到 声 ， 至 少 有 -把 俩 无 法 打开 ， 每 一 合作 者 电 须 
me | 10 fI, ERHIELTEN RS, ESI NOE 
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时 ， 但 可 以 考虑 用 20 位 10 进 制 


作为 密 钥 ， 这 样 的 密 铀 分 别 由 


6 位 合作 者 分 开 保管 ， 每 位 保管 
任意 4 个 子 密 钥 可 将 密 钥 恢复 ， 


中 10 位 ， 作 为 子 密 铀 ， 使 得 
少 于 4 人 则 不 能 ， 利 用 提 到 的 


思想 设计 如 下 : 设 密 钥 为 aaa asas, 6 位 合作 者 为 A. А, 


…,46.6 个 人 取 3 个 组 合 有 AA 


«Аз, AAAs AAAs, АА, А, 


ААА, AAAs, ААА AAAs: ДА,А ААА AAA 


AAA. 
AAA. ААА. 
让 这 20 种 组 合 分 别 和 а, а 


AAA, ААА, AAA. 


ААА, AAAs A A.A 


т, azo 依 次 对 应 ,比如 a 和 


AAA У, 表示 Ar, А, А, 都 不 掌握 a 这 - -位 的 信息 ， 现 


将 对 应 列表 于 下 : 
ER 


A= (а, sara3 auo asas) 


aA AA aA АА, 
а= ААА, аА, АА; 
а AVAL ао ААА, 


аз ААА; au AAAs, 
a ASA AS aut ALALAS 
故 А, < А\{а,›а,+азза, 


arm AAAs, 
art AAAs» 
an AAAs 
aue AAAs 
y * As As Ав, 


vds sds 305 dg vds sao] 


аА АА, 
аА АА, 
аз AAAs, 
аА, АА,» 
а» A As Ass 


~> (araara a de a aaa edi] 


用 以 表达 А, 必须 掌握 ansan 


,aao 位 信息 . 


A, m ANa а, sas du dissi tau sais vaie} 


4—5 (а; rasar sas sasao 


411615015547) 


Av {az s03 ai >As a9 C10 fu dis iis sz) 


A, (ai vavaa vd sd: dao iz si Oe as} 


As {ai A2 d4 5501 da 


udi disais] 


tea 


Aem lai 22543785 rae rasa зани si] 

上 面 构造 过 程 保 证 了 每 3 位 的 组 合 都 只 缺 1 位 数 . 设 
AAA, 对 应 于 a, BM— Ar, M А, А,А, AAA 和 AAA Ж 
别 对 应 于 азага, В a, a a, Fan. 这 样 保证 了 任意 4 位 定 
能 恢复 窗 钥 aaran Etk. 

GO 沙 米 尔 提出 一 种 基于 拉 格 朗 日 插值 公 式 的 密 钥 分 存 思 
MAL EG уд 5 一 1,2,… 寺 点 可 有 一 个 & 一 1 次 多 项 式 

бл) (Tr) (к-а) 
POT о) Uz) бааа) 
+» (x—z2)0G—2z)7:G—2) 
Саза) (z; 2) G2) 
G—z)0G-—z) Gu.) 
oa mnc eo 


= >» G; = 2 
Ў GFGD)I& — I BUS a n. 任意 选取 а.а, saa € 
GF. 构造 一 多 项 式 ` 
fG)=k' Faz Faz ta zt", 


TU» 


Rpr 是 密 铀 . 
令 e 是 GEF(9) 域 的 本 原 元 素 , fE 
hm f(a), i-b2,; 


Ж ЭРЕЖЕ, W k, 交 给 合作 者 А, 保管 , 设 有 个 合作 者 A 
Ap ee 4 分 别提 供 了 各 自 的 子 密 铀 司 ， ss DRE 
BUS. is, ms РТТ 

PG = Уһ П E2 
得 一 个 4-1 KERR. BA 

ра) =, j = 12k 
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Р” (т) = fü) 

k = f(0) 
UEH ЕВИЯ. WERA A Avion А, ,个 合作 者 ， 
不 足以 确定 f(z)， 因 而 也 不 能 得 到 不 . 

(b) 阿 斯 木 司 一 勃 龙 蒙 (Asmuth-Bloom) ЖЖ, 36—30K 
ph. Bib HB PEE SW) m, m, ms FRAN р 
互 素 的 条 件 ， 此 外 还 要 满足 ， 

设 m <m < CM, 

mmy m2» pan, Mart 
令 I< L эжңтгет/р |, fE 
L= k+ p< p+ Ip = Q + Dp Smmm, 
令 
L=k(mod m), 1л 
k, 作为 子 密 铀 分 别 交 A 保管 . 可 以 证 明 若 存在 1 个 便 可 恢复 
.这 是 根据 中 国 剩 余 定理 
L=k, (тоёт), i=l, 2, =, ¢ 
Bm, m. m, FEMME. 19: 
ГА тутот т mm, 
#=1,—1р 

PERA krky ,如 ,这 1 一 1 НЯ, Бїт mnm, 

Ж М, 使 L=M (mod m, m,m, ,) 

令 L-M-Fam;m,m, , 

RE О<а<тунрети/ Gum m, ) 

ШТ mim tim (mmm) >p 

所 以 а 的 值 可 以 是 小 于 p HEER. 由 于 Gn, р) =1, i=1, 
2，…，m。 所 以 mima "ms р) =1. ВЗР а HÊFÊ a< 
区 间 变 化 , L (mod p) 的 值 也 在 这 范围 内 变化 ， 邵 工 的 值 不 
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能 确定 . 

McEliece 和 Sawate 将 Reed-Solomon 码 用 在 密 铀 分 存 技 
术 上 , 坟 防 止 个 别 合作 者 的 子 窗 铀 被 自 改 或 有 意 提供 假 的 上 它 
的 基本 思想 是 将 密 铀 z 利用 Reed-Solomon 码 译 成 码 文 ， 分 别 
由 # 个 用 户 保存 一 部 份 ， 根 据 Reed-Solomon 码 具 有 纠 错 的 功 
能 ,对 若干 (比如 + DO 错误 予以 恢复 ， 以 达到 上 述 目的 ， 


$21 零 知识 证 明 问题 


а) 协议 . 
密码 协议 是 一 系列 的 约定 ， 通 信 系 统 中 的 成 员 都 必须 遵守 
以 建立 系统 内 部 的 信息 交换 和 联系 , 例如 下 面 证 明 身份 的 协议 . 
每 一 用 户 ， 设 为 4， 秘 密 选 择 一 正 整 数 a 并 计算 
ул= 
并 用 CA, y) 形式 公布 在 通信 录 上 ，, 其 中 A 为 用 户 的 身份 , 8 
定 每 一 用 户 都 有 一 本 通信 录 ， 
车 4 ЖЫ ВОИ АЕНА, РНТ. 
(a) 4 向 巨 送 去 一 正 整 数 w. 
(b) BKE а 后 随机 选择 一 正 整数 R, HA 
x= a= 
并 将 y, 送 给 А. 
(с) 4 计算 
yim Quy anh 
并 送 у, 给 B. 
«D BHA 
(ул) = ۴ 
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并 检查 O =y) 若 等 号 成 立 ，4 的 身份 便 得 到 了 证 明 . 

又 例 , 著名 的 沙 米尔 协议 也 是 饶 有 趣 昧 的 . BER PF: ê Û 
己 的 加 密 算法 E, 和 相应 的 解密 算法 D. 假定 4 要 向 B 送 去 明 
Ж m, ЖШТ: 

(a) A F B RE р, (т) i 

(b) ВЕ & АШ Рьр,(т)) а 

《c) A 再 送 给 召 以 

E,(Ds(D,G)))= E,(DA(Ds(m)))=Dsa(m) 

(d> B {Е Eg(Dg(m)) = m 
RERE DD) = D,(D,(m)) 

沙 米尔 的 协议 妙 在 A M B 间 的 秘密 通信 没有 私下 约定 的 
ЖЯ, ЖЛ 3 次 来 回 便 将 m 秘密 地 送 给 了 B， 现 将 这 过 程 形象 
地 表示 如 图 2. 21.1. 


А a) Dam) 
D 
gr" 
a 
(3) Dan) 


2.21.1 
CO) 零 知识 证 明 是 一 交互 信息 交换 过 程 。 一 方 是 证 明 者 
P(prover), P 拥有 无 限 的 计算 能 力 ; 另 一 方 是 验证 者 
У (verifier), V 是 概率 多 项 式 时 间 机 器 . 所 谓 零 知识 证 明说 的 是 
证 明 者 P 要 向 验证 者 V 证 明 一 个 事实 , 若 事 实 是 真 的 , 则 V 以 
很 大 的 概率 接受 它 , MERR, WV 也 将 以 很 大 的 概率 于 以 拒 
绝 ， 全 部 过 程 在 多 项 式 时 间 内 完成 ， 而 且 验 证 者 并 没有 从 证 明 
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者 那里 获得 任何 额外 信息 ， 验 证 者 V 可 以 独立 取得 的 信息 除 
外 ,即便 V 采取 欺骗 手段 也 仍 如 此 . 
COD 中 的 协议 就 不 是 零 知识 的 . 因为 车 BEKE y, — КЕ, 则 
他 将 获得 %m 一 R*， 这 个 结果 就 不 是 他 所 能 得 到 的 ， 虽 然 这 距离 
他 想 知 道 的 a 还 很 远 . 
零 知识 证 明 举例 . 若 已 知 正 整数 和 у, 0<y<z, ged (т, 
У) =1. PP 宣称 他 知道 不 存在 zEZ， 使 得 
z’=y(mod х) 
验证 者 V 便 产 生 一 组 整数 序列 
Zo zo s z, 
及 一 组 0—1 序列 
bo beo, 
满足 0<z<x，gcd (а, z) =, i=l], 2, =, n. 并 计算 
z (шойт) #b=0 — 
-人 (modz) E&-i О?" 
VRBE ws we t, ВЕ Р. 
了 对 此 进行 判断 , 令 
-从 ERE. 满足 ої, (тойт), 
1, KZ. 
PH cuca s c, ЖЕ У. 
车 对 所 有 的 : A c= REP 的 断言 , 即 不 存在 x, 使 得 
z^ y(mod z) 便 得 到 证 明 . 
表面 上 V 得 到 的 回答 都 是 他 自己 已 知道 的 事实 ,但 实际 上 
P 已 向 V HRT V 本 不 掌握 的 信息 . 零 知识 证 明 的 讨论 方 兴 未 
艾 , 有 很 大 的 理论 意义 ,关系 到 了 殉 络 通信 的 安全 问题 ,可 能 还 不 
仅 限于 这 点 上 . 
O 关于 平方 剩余 的 讨论 已 见于 第 2 ж $ 3. BUE P 是 素数 
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《 非 偶数 )，8 是 GF(z) 域 上 非 零 元 素 ,根据 费 尔 玛 定理 
Ё?С!==] (пой р) 
但 
8 1—1=(8% *— 1) (8*41) (mod р) 
如 车 BEQRr， 即 存在 ECER E 
a'=B(mod р) 
所 以 
Ваа? = (тоб p) 
反 过 来 余下 的 〈z 一 1) /2 个 非 零 元 素 为 非 平方 剩余 ,它们 
都 满足 费 尔 玛 定理 , 但 
В 91 (mod p) 


Ж 
Boc" —1(mod р) 
这 就 证 明了 于 面 的 结论 ， 
e= 1  B€QR, 
一 1  8€QR, 


这 是 判断 8 是 否 mod p 平方 剩余 的 方法 


$22 序列 密码 和 线性 反馈 移 位 寄存 器 (LFSR) 


аў FREM. 
商 农 提 出 完全 安全 的 密码 概念 . 由 此 引出 一 次 一 密 的 构想 ， 
若 能 以 茶 种 方式 产生 一 随机 序列 ， 利 用 这 样 的 序列 对 明文 进行 
加 密 ， 如 图 2.22.1 KR. 
ДИВНА ААА, 明文 mamma REX em ees 都 是 
0 一 1 序列 
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qim 


明文 m 


c, =m, +k, (mod 2) 


H с=љФь RRE. 
在 这 一 节 主 要 讨论 用 线性 反馈 移 位 寄存 器 产生 一 种 称 之 为 
m 的 序列 ， 用 序列 进行 加 密 的 方法 叫做 序列 密码 
(2) 线性 反馈 移 位 寄存 器， 它 可 用 图 2. 22. 2 来 表示 , 这 样 


的 线性 


LFSR. 


反馈 移 位 寄存 器 为 


EARP HE 


密 文 < 


В 2.22.1 
D i=], 2, 


级 的 ， 线 性 反馈 移 位 寄存 器 简 记 为 


其 中 


a Gt =а GE), 


m2 
i-1,2.,-1 


a.G D =с,а lt) te iai) Hc Fea, Gb eia. G) 
其 中 十 是 四 的 简写 .开关 c 的 断 开 和 闭合 分 别 表示 с;=0 或 1. 
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一 般 都 假定 一 1. 
如 图 2. 22. 3 RR, 


2.22.3 


a; + 1) = a, G), ¿= 1,2,3,4 
eG + D = a,G) cra 
如 若 上 一 0 时 ,ao =1, а —0, а= 1, a, = а; = 0; 
t= 18а = 0, a,=1, а,=а,=0, а=а + 
a= 1, RHA a d. 
t=2BJW fa = 1, а=а,=0, a= 1, а= 0, 
输出 为 1. 


| a ds а dil t |а a а, а а 
9 0 0 1 0 1119 1 0 0 0 1 
1 1 0 0 1 0|201 1 0 0 0 
2|0 1 0 0 112111 1 1 0 0 
310 0 13 0 012 1 1 1 1 0 
410 0 0 1 0|231 1 1 1 1 
510 0 0 0 1[24|0 1 1] 1 1 
611 0 0 0 012 0 0 1 1 1 
?]0 1 0 0 01211 0 0 1 1 


t |as а, а а; а tla а, аз a а, 
811.0 1 0 0|[27|1 1 0 0 1 
9|0 1 0 1 0|280 1 1 0 0 
1011 0 1 0 1129]1 0 1 1 0 
[1 1 o 1 0|39|0 1 0 1 1 
12]1 1 1 0 113|0 0 140 0 1! 
1310 1 1 10 0|3|1 0 0 1 0 
14|1 0 1 1 1330 1 0 0 1 
11 1 1 0 1 1|340 0 1 0 0 
16/0 1 1 0 1|3 0 0 0 1 0 
1710 0 1 1 0|36|0 0 0 0 1 
18|0 0 0 1 3 
这 个 线性 反馈 移 位 寄存 器 的 输出 为 序列 


1010010000101011101100011111001101001… 
不 难 想像 LFSR 的 输出 序列 将 是 周期 的 ， 因 为 一 当 寄 存 器 
上 的 状态 出 现 重 复 , 则 以 后 的 状态 周而复始 . n 级 的 LFSR 最 多 
АЯ 7—1 种 非 零 状态 ,重复 是 不 可 避免 的 .而且 周 期 <> 一 
1. 车” 个 寄存 器 的 状态 为 全 零 , 则 这 LFSR 将 一 直 保持 为 全 零 
RE. 
(3) 特征 多 项 式 . 
z 级 的 LFSR 输出 的 递 推 序列 (a) RIE jn 时 有 
ap Ecart + Белазара 
a=b, ab, و‎ a,=5b, 
称 六 (z) 一 1 十 cz 十 cz 十 … 十 coz" 为 对 应 的 特征 多 项 式 . 
对 于 序列 {e,} 有 母 函 数 
GG) = a, + axr ал? + =— = aat 
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定理 2.22.1 С (z) =p (z) /p。(z)， 其 中 
ж 一 Уо." az 
< ^ 


pO = Mer. сь = 1 


< 
证 ; аса, са, + Fena 
ало Cian Fegan tt esas 
Баат НЕ г", unt, НИВ 
G(z)— (a agr Бах") 
cea GG)— (а daar +a, iz" 2] 
十 carsLG(Cz) 一 (ai 十 asz 十 … 十 ao 227720] 
+= 
+c,z"G (z) 
移 项 整理 后 可 得 
(+оо? Бод") G (z) 
= (atat Ha,” s) 
十 cz (akar +a, z 2) 
cesar? (a Faz t+ +a, az") 
+= 
cenam" la) 


即 


BUOGG) = M 
注意 < 十 < 一 0， 定 理 得 证 . 
定理 2.22.2 p (zx) 是 序列 {a,} 的 特征 多 项 式 , 且 plr) 
iz" 十 1, 则 {a,) 的 周期 rlm. 
证 : 设 存在 q(x)， 使 得 
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а Maus! = бх) 


b.G)gG) = z” + 1 


但 b. GGG) = (r) 
P.(z)q(z)G(z) = qGogG) 
BI (z" + G(x) = g(r zr) 


2(z)? 的 方 次 为 严 一 as9(z) 的 方 次 不 超过 = 一 1， 故 ба" + 
DGG 的 方 次 不 超过 (m — n) + (я 1) = m — 1. 这 就 证 明 
了 

а+ы=а, 
对 于 任意 正 整数 i WRL. Um=krtt, Ox, 

ан T Oen 70 nod, 

t0 
即 rim 

(4) n R LFSR 的 输出 序列 的 周期 不 依赖 于 初始 条 件 , 而 

依赖 子 特征 多 项 式 p. Go). 我 们 感 兴趣 的 是 LFSR 遍历 2 一 1 个 
FERS, 这 时 序列 的 周期 达到 最 大 , M 2 一 1， 这 样 的 序列 称 
为 加 序列 .显然 对 于 特征 多 项 式 一 桩 ,而 仅仅 初始 条 件 不 同 的 
两 个 LFSR 给 出 的 序列 ， 一 个 设 为 fafp}，, 另 一 个 是 {a)}， 则 其 
中 - 个 必 是 另 - 一 个 的 移 位 ， 也 就 是 存在 一 个 常数 上， 使 得 


af? = aff, 


EDI ES Aes ET dn e 


BEA (2:1 和 和 母 函 数 一 一 对 应 , 故 S(p,(z)) BRE p.z) 为 
特征 多 项 式 的 母 裔 数 集合 . 
定理 2.22.3 Ba} € S(pGoD, (6) € Sig), W 
fa +} € SG) 
其 中 r) = 1ст{р(>),д(л)} 
Ж: 设 r(z) = а(бт)р(х) = b(z)q(z) 
(а) HERRA AGO 15) 的 母 函 数 为 BO), 
A(x) = а(х)/р(х), BG) = Plr) /q(z) 
ata) 的 次 方 < РО) 的 方 次 ,8(z) 的 方 次 < q(z) 的 方 次 . 
(а, + b) 的 母 函 数 为 
AGO + BG) = ©. + Вб 


pz) ga) 
aalr) + b(z)8Gz) 
rr) 


alaala) #1 b(z)B(z) 的 方 次 均 小 于 rG 的 方 次 
AG) + BG) € Siri) 
定理 2.22.4 ЖО) р(х 是 nn 次 多 项 式 ， 
(2) m = тіп (ё | ple) | z* + 1) 
(3) (а) € SCoG ll Ga.) 的 周期 im。 
iE: E z" +1 = p(z)q(z),la,) 序列 的 母 函 数 
G(z) = e/pG) = eGoqG2/0 + z") 
= Фое + z^ + atn e] 
其 中 9(z) 的 方 次 为 m — n. RD 9Xz)q(z) 的 方 次 < m. 这 就 证 
明了 序列 {a;} BAM Е m BD nim. 
定理 2.22.5 ED p(x) 是 次 不 可 化 约 多 项 式 ， 
(2) m= min(&| Cz) |z + 115 
(8) (а) € SOE) 
则 序列 (aj) 的 周期 为 m. 
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证 : 设 序列 {a,} 的 周期 为 -， 则 根据 上 面 的 定理 2.22. 4， 
rim BUE EROS 
GG) = kGY/Q + m) 
hG) HIK < r. dB 
G(x) = gG/pG) 
Фб) PG) = &GD/( + z) 
但 рх) 是 不 可 化 约 的 , 面 且 wz) 的 方 次 < n, 这 就 证 明了 
ФС +z). {Н pGz)|G +z") TE B m = min (| GO |1 + 
Uk r =m. 
定理 2.22.6 Жа) p(x) En KERR: Oa} € 
SHD 的 周期 为 2" 一 1, 则 pO) 是 不 可 化 约 的 . 
证 : 如 若 不然 ， 令 pCa) = grr), ЙЧ qz) 为 次 不 
可 化 约 的 多 项 式 , 则 


1 
a € S(q(z)) 


WB 1/06) 的 周期 六 |2 — 1. 
另 一 方面 


1 r) 
FG) рб) Є SOl) 


这 说 明 以 1/g(z) HERKE АЈА (а) 的 某 一 种 位 移 , 它 的 周 
期 是 2 一 1, 这 只 有 一 种 可 能 = 一 А, Вр 
P (z) = q(x). 

综 上 可 得 证 ， 证 毕 . 

定理 2.22.7 Un KERR p(z) 为 特征 多 项 式 的 = 级 
LFSR 所 输出 的 {4.} 是 各 序列 (到 周期 为 2 — 1) 的 充 要 条 件 是 

(OD p(z) 是 不 可 化 约 的 ， 

(2) min{klptr) |z* + 1) = 22 — 1. 

证 ;必要 性 . 
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Юа) € SCo GOD ,根据 定理 2. 22. 6, 户 (z) 是 不 可 化 约 的 . 
又 根据 定理 2. 22. 4, (a 的 周期 2 一 1 必然 除 尽 pCa) 的 周期 
т, 
m = тшїп{Ё|р(т)|л* + 1) 
但 有 限 域 理 论 告诉 我 们 ,=” 次 多 项 式 рх) 应 有 
Pa 
即 о я=2—1 
充分 性 , 
已 知 p(z) 是 次 不 可 化 约 多 项 式 ， 而 且 周 期 为 2 一 1， 从 
定理 2. 22. 5 可 知 (а,) 的 周期 也 是 27 一 1, BB (a,) J& m PERI. 


$23 m 序列 的 若干 性 质 


为 了 讨论 方便 先 介绍 几 个 概念 ， 比 如 序列 
0011101001111 . 
开始 出 现 00， 我 们 称 之 为 0 的 2 游程 ， 接 着 111， 称 之 为 1 的 
3 游程 ， 其 余 依 此 类 推 ， 
Ж {a.} 是 以 > 为 周期 的 序列 到 


аз аю ста а, 
Alert Oper» “ts Artr 
并 逐次 比较 , 计 统计 a 一 a.+: 的 总 数 , $ ZN ner азза ICH 
令 之 为 d:， 定 义 
م‎ 


r 


下 面 将 讨论 "级 的 LFSR, 若 输出 的 序 Pl (a.) 的 周期 达到 
2 一 1， 则 具有 如 下 的 特性 
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ба) # т 是 奇数 , 则 (a) 在 一 周期 内 0 的 个 数 比 1 的 个 数 
多 1 个 或 少 14. Fr 是 偶数 时 ， 则 0 的 个 数 等 于 1 的 个 数 . 
(b) 1 游程 的 数目 为 游程 总 数 的 1/2, 2 游程 的 数目 占 游 程 
总 数 的 1722, ++, c 游程 数目 占 游程 总 数 的 1/2. cen, n—1 BF, 
9 的 c 游程 数目 和 1 的 < 游程 数 虽 应 相等 . 
(с) Е. 是 一 个 常数 ， 
证 由 于 mn 级 的 LFSR 的 状态 痊 历 2 一 1 个 非 零 的 x 位 2 
进 制 数 . 假设 = 位 2 进 制 数 用 ааа, RRR, а 位 有 2 一 :个 
是 1，2" 一 1 个 是 零 ， 这 就 证 明了 (a) 的 结论 . 
由 于 LFSR 不 会 出 现 全 零 状态 , 故 没有 0 的 ”游程 . 有 1 个 
且 仅 有 I 个 1 的 "游程 . 不 可 能 出 现 1 的 十 1 游程 如 若 不 然 
将 出 现 两 个 全 1 的 状态 相 邻 ， 则 整个 序列 是 全 L 这 是 不 允许 
的 . 故 必然 出 现 
01-10 
I 
一 段 的 子 序列 ， 故 LFSR SIKU 
01*1, bel, 110 
re s€ ai 
由 于 01…1 和 1.…10 只 能 出 现 1 次 ， 因 此 不 会 出 现 1 的 a 一 1 游 
GE о» 
程 ， 即 不 会 出 现 
01.…10 
„Сів 
子 序列 、 但 会 出 现 
10-01 
= 一 【他 
子 序 列 、 它 产生 10…0 和 0…01 两 种 状态 . 
RTF 2, с 为 不 超过 一 2 的 任 一 正 整 数 , 则 1 的 游程 
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的 数目 可 以 从 考察 LFSR 状态 为 
01…10 
ML CI 
c 十 ?位 n—c-2B 
时 得 出 . 
这 样 的 状态 共有 2 个. 类似 的 理由 可 以 制定 0 的 c 游程 数目 
也 应 是 2”“?， 所 以 在 一 个 循环 周期 内 1 的 游程 数目 应 为 


1+ Sp i Fpp = = 
0 的 游程 数 也 是 Z0. (b) 的 结论 正确 . 
由 于 序列 满足 递 推 关系 


Aa = Casin T Coa iT t e Cu. 


所 以 
Vcr T CIA eni e Cpl ee e 2o содае 
Artn FA erm C (ana densi) 
Teaser aerei) 
cbe Gas 
^ b aca. ' 
Wi brin Cibarn Ес, aF e ° 


BREFS (ar Far} = 0 A (a) — PEN EHA ЧЁ WE X: 
Ж. 所 以 问题 导致 讨论 序列 {6,} 中 0 的 个 数 和 1 的 个 数 , 4-2 


数 为 一 1, 故 . 
RoQU-pbOzFeRmT'-—MG-» 
《c) 的 正确 性 获得 证 明 . 


$24 非 线性 的 反馈 移 位 寄存 器 


CO 我 们 可 将 线性 反馈 的 移 位 寄存 器 的 概念 子 以 拓 广 , 把 
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它 看 作 是 一 种 自动 机 ， 且 是 由 三 部 分 构成 的 
(а) 有 限 状 态 集 S = (Ii = 1,2,0. 
O) 有 限 输入 字符 集 
A, = (af? |j = 1,2, m) 
和 有 限 输出 字符 集 
А, = (df? |k = 1,2, my 
(с) 转移 变换 . 
它 上 共有 这 样 的 一 种 功能 ， 当 自动 机 处 于 S 状态 时 ， 输 入 
AP 后 ， 状 态 改变 为 5;:， 并 输出 一 字符 АР. HJ 
AfPPAGPSO, S= f AAP, S) 
Bli 5= (5,,5,,5), A= (at a? af?) 


A= laf? af? a$) 
ois ao 
fu ai la: аў 


Sa aP ар 


m QD Qm 
S; [а ai? аў 


S, |ef? af? of? 


fu aj" af? д? 
S S S Ss 
S IS 5, 5, 
5415, S 5, 


上 面 这 个 自动 机 可 用 有 限 图 表示 于 图 2. 24. 1. 
每 一 顶点 表示 一 种 状态 ， 从 状态 S 到 S, 的 有 向 边 表示 状态 的 
TER. 边 上 的 字符 串 (GP а?) 表明 在 状态 S, 下 输入 字符 a” 
me 


NN а?) 


(a), а?) 
aP, а?) 


В 2.24.1 
Bb. НВА a, РЕНК S. 
(2) 一 般 的 移 位 寄存 器 可 用 图 2. 24. 2 来 表达 . 


ад an h= ---- ааз 


gi 
一 一 f Go en =, а) 
Ж 2.24.2 
EPEN Sla ara) 可 以 用 一 真 值 表 来 表示 . 这 样 的 布尔 画 


Bog 27 个 . 
例 2 德 布 鲁 恩 (de Bruijn) 序列 
图 2.24.3 有 8 个 顶点 编号 从 000 到 111. А laaa) 到 
(a,a,a) 有 一 条 有 向 边 aaraa, RIEA aaa) 状态 转向 状态 
(2,2524) ,而 且 每 一 个 顶 虑 (aliasvas) 有 两 条 有 向 边 
ap 


(алазаз0) 和 (ava,a,1) 
表达 在 状态 laaa) 时 输入 为 0 或 
1 时 状态 转移 图， 同样 每 一 个 顶点 
(а, as а) 也 有 两 条 边 进入 ， 一 
Ж Oaa), 3—38 (laaa). 

图 2.24. 3 是 za 一 3 的 de Bruijn 
图 ， 一 般 说 来 = 级 移 位 寄存 器 的 状 
态 转换 图 都 是 德 布 鲁 恩 图 的 于 图 . 

由 级 移 位 寄存 器 产生 的 周期 
达到 27 的 序列 叫做 M 序列 

(3) 下 面 介绍 若干 个 由 LFSR 


构成 的 非 线性 序列 
Bloc (a) 如 图 2. 24. 4 所 示 , LFSR1 
和 LFSR2 分 别 是 mw 级 和 级 线性 
移 位 寄存 器 ，] 一 K 锅 发 器 的 功能 见 表 2.24.1. 
32.24.1 
J K | C. 


4 c =0,WJ 困 2. 24.4 
c= G1) at Dea + (as +106, * 0 
aibi Gi T D--a Gd D. Q.24.0 
即 表 2.24. 1 的 功能 可 用 表达 式 (2. 24. 1) ЗЫК. Ж 
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co ds 
c= (a БЫ + Das а 
c= (aa-h-+ 1)[(a bi -+1)a +a, ]+a, 
(b) HLE (Pless) 利用 (а) 的 J 一 K BER SEHDE — RR US. 
随机 序列 产生 器 , 如 图 2. 24.5 所 表示 的 那样 . 由 8 个 LFSR 组 
合 而 成 的 . 


mm 

LFSR! 了 

a 0 
LFSR2 K 
LFSR3 了 

11 
LFSR4 K 

3 
LFSRS f 

7-2 
LFSR6 K 
LFSR? 了 

ШИ! 3 
LFSR8 K | 


В 2.24.5 

这 个 体制 的 密 铀 包含 有 8 个 LFSR 的 构造 和 它们 的 初始 状 
态 ， 以 及 输出 单元 的 疾 序 . 

《c) 如 图 2. 24. 6 表示 的 那样 ,由 LFSR1 的 状态 作为 地 址 到 
LFSR2 中 取 该 地 址 单元 的 值 . 例如 LFSR1 HREH aaa, HT 
为 3 级 线性 移 位 寄存 器 ，LFSR2 29 8 级 线性 移 位 寄存 器 ， 状 态 

IM. 


38 Б.а БББ Ба. BIIN, 若 (ауага) = (0 1 1)， 出 输出 的 < 应 
H bs. 


Æ 2.24.6 
也 可 以 从 LFSR1 中 某 几 位 的 状态 到 LFSR2 中 相应 的 单元 
PRE. 
例 


fiim LFSRA 的 初始 状态 为 1 0 0 0, 即 上 一 0 时 (aiazaiao) = 
(1 000) , LFSRB 的 初始 状态 为 0 1 0. 输出 的 是 es， 其 中 由 一 
bibo 《如 图 2. 24. 7 所 示 ) 输出 序列 如 下 表 : 


tlas ar a oli bole e fas a m m [hh а 
0|1 0 0 0|0 1 оо 911 1 0 111 1 0|1 
1/010 0/1 0 110 101 1 1 0|1 1 1|1 
210 0 1 01 1 0|0 1111 1|0 1 11 
31 00 11 1 1|1 120 1 1 1/0 9 1|1 
4|1 1 0 0|0 1 1|0 1310 0 1 1|1 0 90/0 
5j0 1 1 60 9 1|1 14|0 0 0 1j|0 1 011 
6|1 0 1 1]1 0 0/0 15|1 0 0 0j1 0 1|1 
710 1 0 110 1 011 16[0 1 0 0|1 1 O| 1 
8 1 0 1 0|1 0 1|! 
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а LFSRA 


| 1 1 | 
| eses 


b, -|b, b. LFSRB 


图 2.24.7 
«D 密 文 反馈 加 密 技术 . 
利用 LFSR 产生 的 随机 流 加 密 ， 并 用 加 密 后 的 密 文 进行 反 
僻 的 技术 如 图 2. 24. 8 所 示 . 


cem 
则 
e=m--(ca,+ca,- +a, asd ea) 
一 ms 十 (ctei 上 caas 十 cas a 4-6)? 
e1 =m + (ces Fee Heia, H- Fea) 
eum m Gia Ga necat Hea t a 
Heete), la 


ea maa бае ее. ibn be) 


Ca Mara (Cina Fee, =a b tte) hl 
解密 过 程 见 图 2. 24. 9. 


La 


W2. 24.9 

И НЕ mt =mi m2 …， 则 

mi =e, + (cia, + cra, H сла, саар) 

, 将 前 面 (e) 中 的 e PAL 888. 

mi =m, 
同样 的 道理 ， 

mj =e Fee ca, Hesan- HHen as Hena 
将 (e) 中 的 es 代入 便 得 
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mi =m, 
其 它 依 此 类 推 ， 可 证 图 2. 24. 9 的 解密 过 程 是 正确 的 . 

序列 密码 的 密 文 在 传输 过 程 中 若 丢失 或 增加 一 位 ， 则 将 引 
起 发 送 方 和 接收 方 的 伪 随 机 数 发 生 器 失去 同步 ,导致 解密 失败 . 
但 利用 上 述 的 密 文 反馈 技术 , 每 一 位 的 m。+4 只 依赖 于 当前 的 输 
A enta bA R enais escis t es， 所 以 每 一 位 的 差错 仅仅 对 从 
这 一 位 开始 的 ”位 有 影响 ， 过 后 影响 便 消失 ， 一 切 恢复 正常 . 

uu 
M 解密 失误 киж 

即 当 e 从 LFSR 中 消失 时 ， 它 的 影响 也 随 之 消失 ， 
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本 书 叫 做 “计算 密码 学 ”， 不 言 而 喻 旨 在 讨论 “近代 密码 
学 ” 当然 ， 为 此 也 不 得 不 讲 一 点 传统 密码 . “近代 密码 ”是 相 
对 “传统 密码 ”而 言 ， 如 第 一 章 中 见 到 的 那样 ， 传 统 密 码 多 是 
通过 各 种 的 置换 来 实现 它 ， 近 代 密 码 学 则 和 需要 求助 于 数学 上 的 
计算 ， 从 此 数学 像 潮水 般 涌 进 了 密码 学 中 来 ， 并 在 近代 密码 学 
的 研究 中 扮演 了 日 益 重 要 的 角色 .数学 的 许多 分 支 都 在 这 园地 
里 占有 自己 的 位 置 ， 读 者 已 经 看 到 ， 从 数论 、 信 息 论 、 术 率 统 
计 ， 到 群 论 、 有 限 域 理论 、 组 合 论 、 算 法 复杂 性 理论 、 编 码 理 
论 、 自 动机 理论 ， 以 及 代数 几何 中 的 椭 贺 曲线 等 ， 都 对 密码 学 
的 发 展 作出 了 引人入胜 的 贡献 ， 从 这 意义 上 讲 ， 似 乎 密码 学 本 
身 就 是 一 门 应 用 数学 ， 本 书 在 涉及 如 此 多 的 数学 问题 后 ， 就 此 
打住 ， 作 者 还 想 说 几 句 并 非 多 余 的 话 作为 结束 ， 那 就 是 :密码 
学 毕竟 不 就 是 数学 , 它 有 自己 的 空间 . 它 的 产生 是 时 代 的 需求 ， 
是 计算 机 茵 勃发 展 刺激 的 结果 EOE FRR, ER? 
开 昌 的 处 女 地 . 密码 不 仅仅 用 于 保密 道 信 , 还 是 计算 机 网 络 、 计 
算 机 安全 、 软件 保护 等 学 科 的 基础 . 这 样 的 理解 才 比 较 全 面 些 . 

近代 密码 学 莫 基 于 70 年 代 中 期 ,到 现在 不 过 十 几 年 的 历史 ， 
十 多 岁 的 人 正 处 在 “青年 时 期 ”， 远 未 定型 .作为 一 门 年 轻 的 学 
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科 ， 密 码 学 正 处 在 非常 活跃 的 发 展 阶段 ， 要 覆盖 住 它 的 各 个 方 
面 并 非 本 书 的 目的 ， 挂 一 漏 万 在 所 难免 ， 例 如 目前 讨论 得 如 火 
如 蔡 的 零 知 识 问 题 , 本 书 仅 一 带 而 过 , 更 多 的 问题 只 好 割爱 了 、 
如 果 能 做 到 让 读者 了 解 到 密码 学 这 个 学 科 的 梗概 、 而 不 感到 不 
耐烦 ， 作 者 就 很 满意 了 .、 
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编 后 记 


1989 年 夏 ， 国 内 一 些 数 学 家 和 湖南 教育 出 版 社 编辑 同志 在 
南开 大 学 和 北京 大 学 聚会 ， 深 深 感到 “当今 数学 的 面 狐 日 新 月 
异 ， 数 学 的 功能 正在 向 其 他 自然 科学 、 工 程 技术 甚至 社会 科学 
领域 扩展 和 活 过 ， 数 学 本 身 在 强大 的 社会 要 求 和 内 部 动力 的 推 
动 下 ,不断 追求 自身 的 发 展 和 完美 ”, 希望 能 组 织 各 方面 专家 编 
写 一 批 书 藉 .“ 在 中 学 数学 的 基础 上 ,用 现代 观点 向 高 中 生 、 中 
学 教师 、 大 学 生 、 工 程 技 术 人 人员、 自然 科 学 和 社会 科学 工作 者 
以 及 一 切 数学 爱好 者 介绍 一 些 数 学 思想 ,使 大 家 真正 地 认识 数 
学 ， 了 解数 学 ,热爱 数学 ,走向 数学 ”这 就 是 “走向 数学 ”从 
书 的 起 源 . 我 们 商定 这 要 通俗 读物 的 宗 目 是:“ 用 浅显 易 懂 的 语 
言 从 各 个 方面 和 角度 向 读者 展示 一 些 重要 的 数学 已 想 ， 讲 述 数 
学 (尤其 是 现代 数学 ) 的 重要 发 展 ,介绍 数学 新 兴 领 域 、 数学 的 
广泛 应 用 以 及 数学 史上 主要 数学 家 (包括 我 国 数学 家 ) 的 成 
a” 

WCPACEOEA ZI RU. 3 XX B” HAMKA QË 
情 协 助 ， 一 年 后 ， 第 一 辑 八 本 书 已 与 读者 见面 ， 第 二 辑 也 即将 
出 版 。 这 十 六 本 书 尽管 深浅 不 同 ， 风 格 各 异 ， 但 至 少 有 一 个 共 
同 之 处 , 即 作者 们 均 朝 着 本 从 书 的 宗旨 和 目标 镍 了 认真 的 努力 

在 这 枇 节 中， 作者 们 介绍 了 近年 来 数学 一 些 重要 发 展 和 新 
的 方向 (其 中 包括 1990 年 览 尔 起 奖 获得 者 V. Jones dde db ta 
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结 理论 方面 的 杰出 工作 ， 拓 幸 学 家 Kuhn 和 Smale 在 数值 复杂 
性 方面 的 开创 性 工作 ,， 实 动力 来 统 的 莫 基 性 结果 等 )， 以 中 学 数 
学 为 起 点 介绍 一 些 数学 分 支 和 课题 Go RAE, RL, f 
HOÀ, д, Э EEE. Polya 计数 技术 等 )， 通 过 具体 实例 
引伸 出 重要 的 数学 思想 和 方法 (如 数论 在 数 全 计算 中 的 应 用 , 几 
何 学 的 近代 观点 ， 群 在 集合 上 的 作用 ， 计 算 的 复杂 性 概念 等 )， 
从 不 同 的 侧面 介绍 了 数学 在 物理 、 化 学 、 既 济 学 、 信 息 科 学 以 
及 工农 业 生产 等 方面 的 广泛 应 用 ， 包 括 华 罗 度 教授 多 年 来 在 中 
国 普及 数学 方法 的 宝 责 经 验 ， 在 书 的 正文 或 附 好 中 ， 作 者 们 介 
绍 了 中 让 许多 数学 家 的 生平 和 业绩 ， 特 别 是 国内 外 数学 家 为 华 
罗 雇 教 授 所 写 的 纪念 文章 ,从 不 同 侧面 回忆 了 他 早年 的 业绩 , 蔷 
扬 他 为 新 中 国 培养 人 材 和 热爱 祖国 献身 事业 的 可 责 精神 ， 这 对 
于 我 们 (包括 年 轻 一 代 ) 是 有 很 大 教育 意义 的 

尽 营 作者 们 作 了 很 大 的 努力 ， 但 我 们 深 二 ， 用 通俗 语言 介 
绍 如 此 丰富 的 数学 思想 和 飞跃 的 发 展 , 是 一 项 十 分 艰难 的 任务 ， 
在 第 一 批 书 出 版 之 后 ,我 们 执 访 地 欢迎 广大 读者 的 批评 和 什 见 ， 
以 利于 今后 的 改进 和 提高 ,如 前 所 述 ， 这 楷书 的 写作 风 牛 各 有 异 ， 
取材 的 深度 和 广度 也 月 所 类 别 ， 即 使 不 少 作者 岂 易 其 稿 ， 力 图 
把 基点 放 在 初等 数学 ， 但 是 要 介绍 现代 数学 的 思想 和 内 容 ， 很 
难 避免 引进 深 一 层 的 概念 和 方法 ， 所 以 ， 我 们 不 能 等 求 读者 在 
最 初 几 记 就 能 把 书 中 反 述 的 内 容 和 体现 的 思想 方法 全 部 读 凤 
但 是 项 望 具有 不 同 程度 数学 知识 和 修养 的 数学 爱好 者 在 认真 读 
过 这 些 书 之 后 者 能 有 所 收 苞 ， 开 阔 眼 界 ， 增 长 见识 ， 从 而 更加 
认识 数学 ， 了 解数 学 ， 热 要 数学 和 走向 数学 
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